Ещё по теме

Комментарии по теме

««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Есть еще третий более простой способ -использование технологии single logon. Sap logon будет использовать windows пароль, очень удобно.
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Олег Башкатов:
вот и продолжение наконец-то подготовил, где учитывается и периодическая смена пароля и принудительная, и пароль хранится не в открытом виде.   Общая идея такова: вместе со скриптом GuiXT...
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Олег Башкатов:
прочитайте три последних слова в заголовке статьи, и Вы поймете, что слово "терминальный сервер" сюда никак не запихнуть. Также нельзя ставить в этот ряд SNC и прочие инструменты, требующие...

Безопасность SAP в цифрах. Результаты глобального исследования Digital Security за период 2007–2011


2528

Скачать отчёт Скачать

Опубликован отчет исследовательского центра Digital Security «Безопасность SAP в цифрах. Результаты глобального исследования за период 2007–2011» – первое общедоступное статистическое исследование безопасности SAP, включающее детали измерений и описание угроз.

Удаленный доступ к критичным сервисам SAP-систем открыт из сети Интернет

В ходе исследования, среди всего прочего, исследовательская лаборатория Digital Security провела сканирование TCP-портов по всей сети Интернет, которое показало, что от 5% до 25% предприятий (в зависимости от типа сервиса), использующих SAP, открывают удаленный доступ к критичным для бизнеса сервисам. В рамках исследования были просканированы их подсети.

Одной из целей исследования было разоблачение популярного мифа о том, что системы SAP защищены от хакеров, так как доступны только из внутренней сети. В то время как все рекомендации SAP и консалтинговых компаний гласят, что даже внутри сети доступ к административным сервисам необходимо строго ограничивать, обнаружилось, что многие компании некорректно настраивают ландшафт SAP, так что критичные сервисы доступны удаленно через Интернет. Иногда причина в банальной некомпетентности, но иногда компании осознанно принимают решение о том, что им нужен легкий удаленный контроль, а это грубейшее нарушение правил информационной безопасности.

Так, в России обнаружилось 58 систем SAP Router, предназначенных для управления доступом к внутренним системам SAP. SAP Router как таковой может быть небезопасно настроен и позволять проникнуть внутрь компании, но настоящая проблема в том, что 10% этих компаний оставляют открытыми другие сервисы для прямого доступа через Интернет в обход SAP Router, например, сервис SAP Dispatcher. Этот сервис легко эксплуатируется, если войти в систему под стандартной учетной записью или воспользоваться некоторыми другими уязвимостями, которые были закрыты компанией SAP только в мае 2012 года.

Кроме того, 9% мировой выборки (она состояла из 1000 компаний, использующих SAP, по всему миру) не закрыли доступ к сервису SAP Management console, который уязвим к неавторизованному просмотру параметров системы удаленно через Интернет.

Компании используют старые версии SAP

Одним из неприятных открытий Digital Security было также то, что компании используют старые версии SAP, выпущенные в 2005 году. Информация о публичных веб-серверах на основе SAP NetWeaver была собрана с помощью поисковых систем Google и Shodan. Анализ их версий показал, что самая популярная (45%) конфигурация – это SAP-система на основе NetWeaver 7.0 без дополнений и обновлений безопасности.

Исследователи Digital Security обеспокоены тем, что новые безопасные настройки, такие как отключение по умолчанию большей части критичных веб-сервисов (раньше они были по умолчанию включены и несли разнообразные риски), и результаты всей той работы, которую компания SAP провела для улучшения безопасности своих продуктов совместно со сторонними исследователями, появились только в обновлении EHP 2 (Release 7.02). Результаты исследования

Ограниченный доступ

Для прочтения полной версии статьи необходимо зайти как зарегистрированный пользователь.


Любое воспроизведение запрещено.
Копирайт © «Издательство ООО «Эксперт РП»