0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

详解企业SAP环境常见的配置错误和安全故障

如意 来源:IT168 作者:IT168 2020-07-01 11:04 次阅读

现代SAP足迹的复杂性和常见的安全故障使许多组织暴露在可避免的风险中。

配置错误和其他错误(其中许多是多年来众所周知的)不断破坏企业SAP环境的安全性。SAP足迹的迅速复杂性增长是造成这种情况的一个重要原因。多年来,SAP应用程序一直在变化和发展,现在已经连接到无数其他系统和应用程序。

典型的SAP环境由许多自定义代码和定制组件组成,这些组件相互通信,并通过各种API接口与外部系统进行通信。ERP领域的安全供应商Onapsis的CTO Juan Perez-Etchegoyen说,新的代码和协议与与传统环境相互作用,并继承它们的安全漏洞和缺陷。

他指出,不断地对概要文件、参数和配置进行更改,以适应新的业务流程,但很少了解潜在的安全隐患。这些环境的复杂性使他们充满了安全漏洞。

今年早些时候,随着针对两个主要SAP组件中已知配置错误的一组漏洞的公开发布,这个问题成为了人们关注的焦点。这些漏洞被统称为10KBlaze,为攻击者提供了一种获得对SAP环境的完全远程管理控制的方法,并促使US-CERT发出了警告。

下面是企业SAP环境中最常见的一些配置错误和安全故障。

1. 配置ACL

访问控制列表(ACL)控制不同SAP系统之间,以及SAP和非SAP环境之间的连接和通信。它们还决定用户对SAP系统的访问。

Perez-Etchegoyen说,控制SAP系统和外部系统之间,或SAP系统之间连接的ACL通常配置很差,漏洞很多,允许一个系统上的人轻松地访问另一个系统。他说,在渗透测试中,配置错误的ACL几乎总是显示为攻击者提供了在SAP环境中横向移动的方法。

例如,Onapsis在5月份披露的10KBlaze漏洞就是为了利用SAP网关和SAP消息服务器中配置不良的ACL。这些漏洞使攻击者能够完全控制SAP环境,以便查看、删除或修改数据、关闭系统和执行其他恶意操作。

Onapsis 的CTO表示,SAP环境中经常配置不安全ACL的其他组件包括SAP Internet Communication Manager(ICM),SAP Dispatcher,用于远程监控和管理的SAP Management Console以及用于OS监控的SAP Host Agent ACL。

SAP本身长期以来一直警告组织注意配置不当ACL的危险。在这方面,新版本的应用程序要比旧版本安全得多,默认情况下ACL的设置也要严格得多,Perez-Etchegoyen说。尽管如此,不安全的ACL仍然是SAP世界中最大的可避免的漏洞之一。

2. 弱用户访问控制

大多数SAP软件都有一个或多个具有高度特权和管理员级别访问权限的默认用户帐户。访问此类帐户的恶意用户可能造成严重损害。专注于SAP系统的咨询公司Enowa LLC的高级董事Jonathan Haun说,这类账户的例子包括SAP*和DDIC,以及SAP HANA中的系统用户账户。

Haun说:“黑客知道这些账户的存在,他们会首先攻击这些账户。”他表示:“企业要么在必要时禁用这些账户,要么使用非常复杂、随机生成的密码,而这些密码无法被猜到。”在某些情况下,甚至有软件产品允许管理员安全地暂时使用这些帐户。

Perez- Etchegoyen说,SAP环境,尤其是那些随着时间的推移而发展起来的环境,其中有很多帐户,很容易被滥用,从而给恶意用户提供完全的管理员权限,甚至超级管理员访问环境中的所有内容。“这是SAP安全卫生的一个领域,很多组织肯定需要改进。”

3.不安全的自定义代码

SAP Global security负责安全通信的副总裁Gert Schroeter认为,组织围绕其SAP环境构建的自定义代码和功能常常存在bug,并且包含安全漏洞。“在软件开发生命周期方面,我们确实看到了很多问题,”Schroeter说。

在快速发布软件的压力下,开发组织在构建和部署软件时,常常很少关注安全基础,比如代码漏洞分析、代码扫描和bug搜索。Schroeter表示:“我们谈论的是设计上的安全,以及默认情况下的安全。”在许多有SAP足迹的组织中,“最终情况并非如此”。

4. Sloppy补丁管理

由于大多数SAP环境的关键任务性质,管理员常常犹豫不决或不愿意做任何可能破坏可用性的事情。一个结果是,安全补丁和更新——即使是针对最关键的漏洞,往往很少被快速应用,有时甚至根本不应用。

Perez-Etchegoyen说,在SAP环境中应用补丁意味着通过开发,QA,预生产以及所有其他多个层次来了解其影响。管理员确保补丁不会破坏现有流程或接口所需的时间通常会导致所需的补丁即使在首次可用后数年也未实施。

Schroeter补充说,由于缺乏信息,许多组织很难在现场SAP系统上识别和实现所需的补丁。他指出,管理员需要定期关注漏洞公开站点和数据库,并订阅资源,以便定期更新补丁信息。

5. 不受保护的数据

如今,SAP环境几乎可以连接到任何东西,并且几乎可以从任何地方直接或间接访问。许多SAP工作负载也开始转移到云上。

然而,通常实际的数据本身(尽管任务很关键)并没有得到保护。很少有公司会在传输或休息时对数据进行加密,并在加密过程中使数据暴露于不当访问和滥用的风险之中。Haun说:“对于云计算和托管环境,他们错误地认为供应商正在实现网络加密和其他安全标准。”

当您的SAP数据库由第三方(尤其是第三方)托管时,应该对其余数据进行加密,以防止不受信任的用户访问数据。他说:“许多组织利用托管和IaaS云平台,因此强烈建议对数据、事务日志和备份文件进行加密。”

6. 密码管理不善

ERP系统和连接到它们的应用程序包含关键信息,但往往受到弱密码和密码管理实践的保护。使用默认密码或跨帐户使用相同密码保护的高度特权帐户的访问并不罕见。弱密码当然是跨应用程序的一个问题,但在关键的SAP环境中尤其有问题。

Haun说,一些组织不支持密码的基本标准,这可能导致帐户被入侵,黑客使用有效的用户帐户和密码造成无法检测到的损害。他建议:“应该配置SAP系统,使用户帐户密码变得复杂,并且每年要修改几次。”

超级用户和管理员密码不应该给普通用户使用,并被锁定在数字保险箱。Schroeter建议,组织应该实现更强大的控制,包括SSO、双因素和基于上下文的身份验证,而不是依赖于宏和基于文本的身份验证。

7. 未能制定应急响应计划

对许多组织来说,面临的一个大问题是缺乏足够的危机管理计划。Schroeter说,很少有人有应对正在展开的攻击的程序,也很少有人有应对危机的指挥系统。

他说,SAP进行的一项调查显示,企业担心数据丢失、灾难恢复能力以及ERP环境中的业务连续性,但很少有企业有应对危机的计划。

8. 日志记录和审计不足

日志记录和审计对于实现跨SAP环境监视系统活动所需的可见性至关重要。它可以帮助管理员密切关注特权用户,并监控对应用程序、数据和数据库的访问以及对它们的任何身份更改。

然而,Haun说,大多数组织没有提供足够的审计策略来跟踪SAP系统中的关键操作。这包括应用服务器层和数据库层。他表示:“审计数据可以用于主动检测攻击,也可以在攻击后提供取证数据。”

Schroeter说,SAP本身已经为其产品添加了很多安全功能,并且多年来一直以安全默认配置提供这些功能。该公司提供了有关配置漂移等关键主题的指导,以及如何处理安全补丁和为其软件添加安全功能。他表示:“客户需要开始处理这个问题,并开始以整体的方式解决网络安全问题。”

与SAP应用程序一样,解决安全问题也很复杂。Schroeter指出,组织需要实现一个安全计划,确定风险的优先级,并找出一个正式的方法来减轻对SAP环境的威胁。

他说,SAP去年与一家安全供应商进行的一项研究显示,犯罪分子对SAP应用程序的兴趣增强了。那些继续低估或忽视这种威胁的公司正在犯错误。“10KBLAZE是我能找到的最好的例子,说明了为什么组织需要开始处理这个问题,”Schroeter说。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • SAP
    SAP
    +关注

    关注

    1

    文章

    374

    浏览量

    21586
  • 网络安全
    +关注

    关注

    10

    文章

    3101

    浏览量

    59510
  • 网络配置
    +关注

    关注

    1

    文章

    22

    浏览量

    7572
收藏 人收藏

    评论

    相关推荐

    显卡常见故障维修

    显卡常见故障维修   常见故障一:开机无显示   此类故障一般是因为显卡与主板接触不良或主板插槽有问题造成。对于一些集成显卡的主板,如果显存共用主内存,则需注意内存条的位置,一般在
    发表于 01-05 17:10

    通力电梯故障代码详解

    通力电梯故障代码详解。通力电梯的控制系统可监测到电梯电气系统的常见基本故障,对于监测到的故障,可通过LCECPU板上的显示窗口以
    发表于 09-06 07:42

    Keil常见错误警告

    该文档详细介绍了在Keil编译环境下的常见错误警告,及其解决方法
    发表于 08-29 14:22 4次下载

    处理器种群及种群设计错误详解

    处理器种群及种群设计错误详解
    发表于 12-15 17:04 0次下载

    什么是iPaaS?SAP的智慧企业之路

    当然,业务 SaaS 是如此之多,以至于 SAP 即便收购了几家各个业务领域的独角兽企业,也不可能满足企业的所有业务需求。于是乎,除了 SAP CP Integration 之外,
    的头像 发表于 01-16 14:01 7205次阅读

    IBM Power Systems 正式通过 SAP HANA® 企业云认证

    SAP HANA Enterprise Cloud提供可扩展的安全的云服务,旨在帮助用户加快转向云环境的进程。
    发表于 02-26 10:27 718次阅读

    SAP S/4 HANA给企业带来的作用与价值是什么

    ,提供各项数据需求,以此制定更为明智的决策。 根据行业性质和企业特定需求,SAP HANA可实现针对性的配置,有效满足企业的各种要求。 实时分析,报表在HANA平台上只需要几秒即可生成
    发表于 11-09 16:21 2143次阅读

    哪些企业适合上SAP系统?

    SAP系统作为全球知名ERP系统公司,世界500强里面有86%的企业部署了SAP系统,总部位于德国沃尔多夫市,在全球拥有6万多名员工,遍布全球130个国家,并拥有覆盖全球11,500家企业
    发表于 02-13 14:44 1935次阅读

    SAP是什么?适合中小企业吗?

    SAP是什么? SAP是一个全球有名的企业软件公司,专注于为企业提供实时的数据和分析,以支持企业的战略决策和业务流程。
    的头像 发表于 04-06 15:42 1747次阅读

    SAP系统操作教程:关于SAP Business One中Addon部署配置

    即日起,小编将每周为各位企业客户带来关于SAP系列产品的相关知识,为客户在使用SAP系统时出现的困难疑点进行答疑解惑。 本期为大家带来的主题是关于SAP B1中ADDON的部署
    的头像 发表于 05-09 17:06 1027次阅读
    <b class='flag-5'>SAP</b>系统操作教程:关于<b class='flag-5'>SAP</b> Business One中Addon部署<b class='flag-5'>配置</b>

    RISE with SAP是什么?适合哪些企业使用!

    一直以来,企业的数字化转型被认为是一件极其复杂的事情。目前的市场信息环境快速变化,企业想通过数字化转型来实现业务价值的增长,然而在具体实践方面,企业仍然面临着许多挑战与难题。
    的头像 发表于 05-18 23:24 880次阅读
    RISE with <b class='flag-5'>SAP</b>是什么?适合哪些<b class='flag-5'>企业</b>使用!

    常见的生产故障有哪些

      网络故障如何处理 服务器故障如何处理? 数据库故障如何处理 软件错误如何处理 安全漏洞如何处理 存储
    的头像 发表于 05-23 15:05 608次阅读

    SAP ERP公有云的数据安全与合规

    针对各种复杂环境下的安全难题,SAP ERP公有云(SAP S/4HANA Cloud,Public Edition)给出了一套全面专业、值得信赖的
    的头像 发表于 07-01 15:46 1182次阅读
    <b class='flag-5'>SAP</b> ERP公有云的数据<b class='flag-5'>安全</b>与合规

    串口通信常见错误故障排除方法

    在进行串口通信时,确实可能会遇到一些常见错误和问题。
    的头像 发表于 03-02 14:19 3763次阅读