安全性，是一個(gè)魔高一尺、道高一丈的領(lǐng)域。

安全性，是一個(gè)拼資金投入、拼工作能力的領(lǐng)域。

由于攻擊通常只在一個(gè)點(diǎn)，而防御力卻要在一個(gè)面。

各種網(wǎng)絡(luò)服務(wù)器的安全性、預(yù)防、安全事故、損害的新聞報(bào)道，大家常常會(huì)見(jiàn)到，許多情況下全是重大安全事故，危害范疇特別廣。

但SAP的安全隱患的新聞報(bào)道，好像大家從來(lái)沒(méi)有看見(jiàn)過(guò)。

是SAP或運(yùn)作SAP的網(wǎng)絡(luò)服務(wù)器牛X嗎？或是SAP的媒體公關(guān)PR做的太“贊”了？亦或是全部安全事故全是網(wǎng)絡(luò)服務(wù)器的事，和SAP不相干？

SAP 是世界較火爆的和解決方法服務(wù)提供商，為85%以上的全世界500和190個(gè)國(guó)家的282,000 家顧客給予解決方法。

這確實(shí)便的基本電腦操作系統(tǒng)。

在這種操作系統(tǒng)中，幾乎運(yùn)作著近30W的一切，會(huì)計(jì)、供應(yīng)鏈管理、生產(chǎn)制造、市場(chǎng)銷(xiāo)售、人力資源管理這些。

假如這種體系的安全性出問(wèn)題，那不良影響無(wú)法預(yù)料，損害也可能是一個(gè)天文數(shù)字。

1.

Onapsis是第一家專(zhuān)注于科學(xué)研究SAP系統(tǒng)安全隱患的安全性生產(chǎn)商。

根據(jù)選用防止和改正方式維護(hù)SAP系統(tǒng)和程序的專(zhuān)用工具，維護(hù)這些解決重要數(shù)據(jù)信息及程序流程運(yùn)用的方法。

“SAP、Oracle系統(tǒng)軟件的安全性，是安全領(lǐng)域一直忽略的一個(gè)行業(yè)，”Crawford曾表述過(guò)這種的見(jiàn)解。

Onapsis CEO Mariano Nunez 說(shuō)：

“較讓人詫異的是，由于 SAP 實(shí)際操作精英團(tuán)隊(duì)和 IT 安全性精英團(tuán)隊(duì)中間的義務(wù)差別，的 SAP 網(wǎng)絡(luò)信息安全都面對(duì)著危害。實(shí)際上，運(yùn)用的大部分補(bǔ)丁包都和安全性不相干、公布過(guò)遲或是引進(jìn)了進(jìn)一步的風(fēng)險(xiǎn)管控。”

該企業(yè)曾有過(guò)一次科學(xué)研究，并產(chǎn)生調(diào)查報(bào)告。

在其中，稱(chēng)出95% SAP 存有明顯的安全隱患，這種問(wèn)題將他們放置互聯(lián)網(wǎng)攻擊風(fēng)險(xiǎn)性當(dāng)中并有可能致使明顯的數(shù)據(jù)泄漏。

該科學(xué)研究還匯報(bào)說(shuō)，在2014年 SAP 公布了391個(gè)安全新，而他們中的50%以上都評(píng)為列入高危漏洞。

2.

攻擊方法和危害范疇，主要是對(duì)于 SAP 應(yīng)用軟件的互聯(lián)網(wǎng)攻擊，分成下列幾種：

關(guān)鍵互聯(lián)網(wǎng)：實(shí)行遠(yuǎn)程控制作用的控制模塊。

數(shù)據(jù)庫(kù)管理：為了好地獲得或改動(dòng) SAP 數(shù)據(jù)庫(kù)查詢(xún)中的信息，利用 SAP RFC 中的漏洞實(shí)行管理權(quán)限命令。

門(mén)戶(hù)網(wǎng)攻擊：利用漏洞建立J2EE側(cè)門(mén)帳戶(hù)，以瀏覽 SAP 門(mén)戶(hù)網(wǎng)和其它內(nèi)部結(jié)構(gòu)系統(tǒng)軟件。

匯報(bào)中給予了對(duì)于SAP系統(tǒng)較多見(jiàn)的三種互聯(lián)網(wǎng)攻擊的關(guān)鍵點(diǎn)信息，這種攻擊空間向量促使黑客可以侵入SAP系統(tǒng)并可以瀏覽企業(yè)數(shù)據(jù)信息的應(yīng)用軟件。

通過(guò)權(quán)威專(zhuān)家科學(xué)研究確定，互聯(lián)網(wǎng)攻擊可能?chē)?yán)重影響下列重要業(yè)務(wù)流程過(guò)程：

在 SAP 系統(tǒng)軟件中間應(yīng)用 Pivoting，導(dǎo)致顧客信息和銀行信用卡信息泄露。顧客和供應(yīng)商門(mén)戶(hù)攻擊。根據(jù)SAP私有化協(xié)議書(shū)對(duì)數(shù)據(jù)庫(kù)管理進(jìn)行攻擊。

依據(jù) Nunez 常說(shuō)，SAP HANA 應(yīng)當(dāng)對(duì)安全新的增加量承擔(dān)：

“這一發(fā)展趨勢(shì)不僅是連續(xù)的，反而是伴隨著 SAP HANA 為惡變，由于 SAP HANA 造成新的安全新提升了450%。

由于 SAP HANA 坐落于 SAP 生態(tài)體系的核心，因此儲(chǔ)存在 SAP 服務(wù)平臺(tái)的信息如今務(wù)必與此同時(shí)云端和前面開(kāi)展維護(hù)?！?/p>

3.

英國(guó)國(guó)土安全局 (DHS) 公布安全警報(bào)稱(chēng)，國(guó)家黑客、犯罪嫌疑人和黑客資源整體規(guī)劃 (ERP) 系統(tǒng)軟件的攻擊主題活動(dòng)在增加。

https:// .us-cert.gov/ncas/current-activity/2018/07/25/Malicious-Cyber-Activity-Targeting-ERP-Applications

該警示是在威脅情報(bào)企業(yè) Digital Shadows 和 Onapsis 協(xié)同公布匯報(bào)后產(chǎn)生的。

該匯報(bào)詳細(xì)描述了國(guó)家黑客、違法犯罪機(jī)構(gòu)和黑客分子結(jié)構(gòu)攻擊 ERP 系統(tǒng)軟件層面的興趣愛(ài)好是怎樣提高的。

ERP近年來(lái)有慢慢使用云服務(wù)器的發(fā)展趨勢(shì)，可容許企業(yè)經(jīng)營(yíng)管理多種多樣業(yè)務(wù)流程，如客戶(hù)關(guān)系管理、股權(quán)融資、人力資源管理、銷(xiāo)售市場(chǎng)營(yíng)銷(xiāo)運(yùn)營(yíng)、市場(chǎng)銷(xiāo)售、供應(yīng)鏈管理這些。因?yàn)樵撔畔⒌母叨群涂倢?，ERP 變成攻擊者極具誘惑力的目的之一。

匯報(bào)警示稱(chēng)，黑客對(duì)于兩徑山 ERP 手機(jī)軟件服務(wù)提供商（SAP 和甲骨文字）的一般漏洞和 0day 漏洞的興趣愛(ài)好不斷強(qiáng)化。

匯報(bào)強(qiáng)調(diào)，“大家觀察到一個(gè)大中型俄國(guó)違法犯罪社區(qū)論壇上，在溝通交流詳盡的 SAP 黑客信息，暗在網(wǎng)上對(duì)回收 SAP HANA 攻擊編碼的探討也在增加。以往三年來(lái)，對(duì)SAP和甲骨文字 ERP 運(yùn)用的公布攻擊編碼的總數(shù)提升了100%；而2016年，對(duì)于 ERP 漏洞的行動(dòng)和興趣愛(ài)好提高了160%?！?/p>

4.

安全性權(quán)威專(zhuān)家強(qiáng)調(diào)，她們跟蹤或紀(jì)錄的大部分攻擊，并沒(méi)有應(yīng)用0day 漏洞，反而是已經(jīng)知道漏洞。攻擊者通常找尋的是自代管的，未按時(shí)升級(jí)補(bǔ)丁包的 ERP 運(yùn)用，或是未被設(shè)定強(qiáng)安全設(shè)置的云 ERP 運(yùn)用。

科學(xué)研究工作員表明，攻擊者通常利用其他企業(yè)被泄漏的賬戶(hù)密碼信息黑入職工 ERP 帳戶(hù)。這類(lèi)類(lèi)別的攻擊很普遍，科學(xué)研究工作人員找到出1.7萬(wàn)款連接網(wǎng)絡(luò) ERP 運(yùn)用，而根據(jù)暴力行為攻擊或詞典攻擊，就能侵入不安全的帳戶(hù)。

可是，假如攻擊者不肯鑒別一家企業(yè)員工并執(zhí)行暴力行為攻擊，那麼也可使用簡(jiǎn)潔的解決方法。例如，Digital Shadows 和 Onapsis 企業(yè)的研究者表明，她們鑒別出500好幾個(gè)不安全的文件傳送庫(kù)文件，被曝露在網(wǎng)絡(luò)上的 ERP 環(huán)境變量。攻擊者可對(duì)這種環(huán)境變量開(kāi)展大數(shù)據(jù)挖掘，以客戶(hù)在未來(lái)啟動(dòng)攻擊。

此外，科學(xué)研究工作員表明，匯報(bào)強(qiáng)調(diào)，曾被國(guó)土安全局在2016年5月關(guān)鍵提到的一個(gè)已存有7年時(shí)間的 SAP 漏洞仍在遭利用，表明危害工作人員已經(jīng)利用這類(lèi)年久缺點(diǎn)。

5.

匯報(bào)還強(qiáng)調(diào)，危害工作人員并沒(méi)有忽略這種年久缺點(diǎn)。

科學(xué)研究工作員表明，早已發(fā)覺(jué)國(guó)家黑客啟動(dòng)互聯(lián)網(wǎng)攻擊的印痕，她們攻占 ERP 運(yùn)用以瀏覽相對(duì)高度靈敏的信息或毀壞重要的工作流程。

火眼金睛企業(yè)和 ProtectWise 公司曾公布匯報(bào)，確認(rèn)稱(chēng)國(guó)家監(jiān)管機(jī)構(gòu)對(duì)云計(jì)算平臺(tái)如 ERP 系統(tǒng)軟件的攻擊興趣愛(ài)好。此外，日常網(wǎng)絡(luò)詐騙機(jī)構(gòu)也逐漸攻擊 ERP。

匯報(bào)強(qiáng)調(diào)，臭名遠(yuǎn)揚(yáng)的 Dridex 金融機(jī)構(gòu)木馬病毒在2017年升級(jí)后搜索并盜取 ERP 系統(tǒng)軟件和 SAP 手機(jī)軟件的各種各樣憑據(jù)信息。

黑客分子結(jié)構(gòu)機(jī)構(gòu)盡管已比不上十年前那麼活躍性，但她們?nèi)匀淮嬗小?/p>

而ERP系統(tǒng)的安全防護(hù)廣泛或是一個(gè)非常弱的情況，這仍然有十分大的安全風(fēng)險(xiǎn)安全隱患。

終究這玩意兒的假如碰到毀壞，乃至的業(yè)務(wù)流程經(jīng)營(yíng)。

除此之外，立即高效的備份數(shù)據(jù)對(duì)策也特別關(guān)鍵，一旦發(fā)生風(fēng)險(xiǎn)性，迅速的恢復(fù)力也的IT運(yùn)營(yíng)能力。

6.

安全性和平穩(wěn)，一直是SAP在市場(chǎng)上主推的二張皇牌

而且SAP官方網(wǎng)站有專(zhuān)業(yè)的頻道，稱(chēng)為「信賴(lài)核心」，用于詳細(xì)介紹SAP在安全領(lǐng)域所做的一切，以讓用戶(hù)安心。

但理論上講，只需連接互聯(lián)網(wǎng)技術(shù)，則沒(méi)有肯定的安全性。

針對(duì)安全性，必須做好長(zhǎng)時(shí)間的資金投入，并對(duì)全部預(yù)料的問(wèn)題即時(shí)回應(yīng)，并按時(shí)開(kāi)展檢測(cè)。才可以確保相對(duì)性的安全性。

http://www.wzdtqf.com