Меню

Основные мифы безопасности бизнес-приложений

Илья Медведовский, к.т.н., директор Digital Security
Александр Поляков, руководитель направления аудита ИБ, руководитель исследовательского центра DSecRG, QSA-аудитор Digital Security

Аннотация

Обеспечение безопасности корпоративных бизнес-приложений - это одна из важнейших задач современного бизнеса, но именно распространенные мифы и заблуждения, описанные в статье, являются наиболее опасными и могут привести для него к крайне неприятным последствиям.

Введение

В этой статье мы систематизировали накопленный нами многолетний опыт по анализу защищенности бизнес-приложений после рассмотрения типовых мифов и заблуждений, которые нам приходилось неоднократно слышать от наших заказчиков относительно безопасности бизнес-приложений. При этом все эти мифы практически мгновенно развеивались в пух и прах буквально после первых дней начала нашей работы.

Миф 1. Безопасность бизнес-приложений – это проблема производителя


Взгляд с точки зрения бизнеса:

Одно из главных заблуждений, которое активно насаждается интеграторами, состоит в том, что безопасность бизнес-приложений это, прежде всего, проблема разработчика. А раз так, то пусть он их сам и устраняет. Причем что любопытно, что когда речь идет об информационной системе в целом, состоящей из различных операционных систем, баз данных, приложений и т.д. – такого заблуждения нет. Видимо потому, что там много разных производителей и всем претензии не предъявишь. Плюс все понимают, что информационная система – это крайне сложный организм, который требует регулярного анализа защищенности и безопасность которого зависит от совокупности различных факторов. В случае же одной из систем управления предприятием или ключевого бизнес-приложения, когда производитель один, у бизнеса может возникнуть опасная иллюзия, что безопасность – это проблема производителя. С технической точки зрения, это утверждение вообще в корне неверно, а с точки зрения бизнеса, оно, по меньшей мере, крайне наивно и очень опасно, прежде всего, именно для бизнеса. С каких пор производитель несет ответственность за инциденты в области безопасности? Он продает лицензию на продукт и при этом не несет вообще никакой ответственности за любой ущерб, который может возникнуть при использовании клиентом его продукта. Соответственно, вся многолетняя практика развития отрасли разработки программного обеспечения говорит нам о том, что для производителя вопросы безопасности его продукта имеют второстепенное, если не третьестепенное значение (на первом плане всегда только функционал). Важно это учитывать особенно когда речь идет о таких специфичных и малоизученных хакерами продуктах как, например, ERP, CRM, SRM и других специализированных бизнес-приложениях. В любом случае, следует четко понимать, что безопасность приложения – это проблема бизнеса, никоим образом не имеющая отношения к производителю.


Взгляд с технической точки зрения:

Проблемы безопасности делятся на программные, архитектурные, ошибки конфигурации и проблемы человеческого фактора. Если уязвимости, относящиеся к первому и, отчасти, ко второму классу, имеют прямое отношение к производителю, то ошибки конфигурации и человеческий фактор – это те области, в которых наиболее часто возникают проблемы, приводящие к компрометации всей системы. В ходе работ по анализу защищённости бизнес-приложений очень часто приходится встречать системы, которые имеют последние обновления безопасности, но, тем не менее, доступ к ним оказывается возможным вследствие специфичных настроек безопасности или использования простых, и самое главное – при этом универсальных паролей.

Даже говоря о программных уязвимостях, нельзя не принимать во внимание то, что проблема выпуска обновлений – это проблема производителя, а проблема своевременной установки обновлений – это задача администратора; и решается она только правильной политикой установки обновлений, включающей в себя различные аспекты, такие как тестирование, согласование с руководством, возможность отката и прочие важные нюансы. Архитектурные уязвимости также могут быть виной как разработчиков (например, атака SMB relay в Windows), так и администраторов, к примеру, неправильное расположение компонентов ERP на сетевом уровне, позволяющее получать неавторизированный доступ в подсеть ERP и, как следствие, - перехват данных.

Миф 2. Бизнес-приложение является внутренним – значит у нас не может быть проблем из сети Интернет


Взгляд с точки зрения бизнеса:

Второй стойкий миф особенно присущ внутренним корпоративным системам класса ERP. Почему-то бизнес наивно полагает, что раз к ERP-системе не осуществляется доступ из сети Интернет, то она безопасна относительно возможных действий внешнего злоумышленника. Это опять же крайне наивно, бизнес уже давно вышел за рамки внутренней среды. Множеству приложений приходится постоянно интегрироваться как с удалёнными офисами через общедоступные сети, так и с другими компаниями посредством различных приложений по взаимоотношению с поставщиками, клиентами и партнёрами, расположенными в разных частях мира. В то же время они также должны иметь постоянный доступ к ресурсам компании – это очевидное требование эпохи глобализации современного бизнеса.

В результате, сегодня все разработчики систем класса ERP так или иначе предоставляют доступ к ERP-системе из сети Интернет. Примером этого может послужить платформа SAP ECC, в которой бизнес-процессы представлены как сервисы. Последствия этого шага с точки зрения безопасности в данном случае вполне очевидны.

Но даже если система не имеет связей с внешним миром, то не стоит забывать, что сегодня самым простым способом проникновения в корпоративную сеть является использование человеческого фактора (отправка пользователю письма с целью заманить его на злонамеренный сайт для последующей установки у него троянской программы), и бизнес об этом сегодня отлично знает. Однако при этом бизнес часто наивно полагает, что подобная атака предназначена только для проникновения в КИС компании и не имеет отношения к ERP, что является очень опасным заблуждением. Сегодня существуют специально разработанные сценарии таких атак, напрямую направленных, например, на SAP ERP, основанные на комбинации социальной инженерии и уязвимостей SAP, и бизнес должен отдавать себе отчет в уровне этой угрозы.


Взгляд с технической точки зрения:

Злоумышленники уже давно не пытаются проникнуть в сеть компании напрямую через пограничные маршрутизаторы. Гораздо проще атаковать пользователей, которые меньше защищены. Как уже говорилось, на данный момент существует множество способов, позволяющих получить доступ к ERP-системе, находящейся внутри предприятия. Они основаны на различных уязвимостях клиентских приложений. В ходе анализа защищенности клиентских компонентов бизнес-приложений различных производителей, таких как SAP, Oracle и других менее известных, были обнаружены уязвимости, позволяющие получить доступ к компьютерам сотрудников через сеть Интернет. Кроме того, никто не отменял различные схемы социальной инженерии, также позволяющие получить доступ в корпоративную систему компании.

Другой популярный способ проникновения во внутреннюю сеть компании – это использование уязвимостей в публичных WEB-сервисах, которые предоставляются клиентам. Примерами таких приложений могут быть SRM и CRM системы. Как и в других WEB-приложениях, в их реализациях также присутствуют уязвимости, позволяющие не только получить административный доступ к самой системе или к документам других поставщиков (если рассматривать систему SRM), но и проникнуть внутрь компании из сети Интернет.

Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к sapland

У вас уже есть учетная запись?

Войти

Обсуждения Количество комментариев1

Комментарий от  

Олег Точенюк

  |  30 сентября 2010, 14:14

Мифы и приведенная в статье информация относится по моему мнению к общим пугалкам о том как все плохо в любом "датском королевстве". Да все действительно плохо, систем становится много, сложность их возрастает, качество обслуживающего эти системы персонала наоборот падает, а отсюда как следствие любой птэушник может скачать набор программ для взлома сети. Но я так и не понял у авторов статьи были реальные примеры когда хакеры (хотя я бы не оскорблял именно хакеров, так как этот термин абсолютно не синоним вору), проникали в систему SAP из вне, без наличия "засланный казачков" внутри компании. Из личного опыта, в качестве хобби, меня давно интересуют часто не публичные, истории о различных махинациях при использовании SAP. Так вот, без наличия внутренних не добросовестных сотрудников, у меня нет фактов взлома даже открытого, без пароля висящего во вне сапроутера и проникновения в SAP. А по этому данная статья, опять же по моему мнению, просто является описанием общих мер информационной безопасности с притянутыми за уши пунктами про ERP системы, а поэтому именно "Основных мифов безопасности бизнес-приложений" я в статье не увидел, это из разряда: "Используйте комплексный подход к обеспечению информационной безопасности и ваши волосы будут гладкими и пушистыми".