Компания Digital Security представила ЕRPSсan SAP Security Intelligence — новое решение для обнаружения атак злоумышленников, выявления аномальной активности пользователей и других критичных событий в информационных системах предприятий, базирующихся на платформе SAP.

Продукты SAP используют более 250 тыс. компаний во всем миру, включая крупнейшие корпорации. Для многих из них ERP-решения данной марки фактически стали корпоративным стандартом. Но является ли SAP абсолютно безопасной платформой? Директор департамента аудита SAP Digital Security Дмитрий Частухин убежден, что это не так.

«Если вы не против разделить содержимое корпоративной тайны со злоумышленником, а возможно и со всем миром, оставьте настройки безопасности в системах SAP в режиме ‘по умолчанию’», — говорит он.

По данным, которые приводит Digital Security, с 2001-го по 2014 год в продуктах SAP выявлено более 3 тыс. уязвимостей. Небезопасна и новая платформа SAP HANA; в ней уже выявлено 14 уязвимостей. Кроме того, некоторые пользовательские данные, включая пароли, хранятся в хранилище SAP HANA hdbuserstore, по сути, в одном файле.

«Эти данные включают логин пользователя, зашифрованный пароль, зашифрованный корневой ключ, другие ключи. Но все это зашифровано одним и тем же ключом на всех системах HANA в мире», — предостерегает Частухин.

Взлом корпоративных информационных систем чреват серьезными последствиями — это может быть промышленный шпионаж, кража финансовой информации, данных о поставщиках и клиентах, саботаж, мошенничество, отказ в обслуживании сервисов, подделка важных документов, несанкционированный доступ к технологическим сетям через доверенные соединения и другие нелегитимные транзакции.

Самостоятельно обеспечить безопасность на должном уровне пользователям SAP трудно, полагает Частухин. Помимо того что продукты имеют уязвимости на всех уровнях, от сети до приложений, это сложные системы, а сложность — враг безопасности. К тому же решения SAP не работают «из коробки», они требуют кастомизации — до половины программного кода и бизнес-логики разрабатывается и определяется в таких проектах индивидуально, под заказчика. Это повышает степень риска. Вдобавок важное корпоративное ПО на предприятиях редко обновляются, потому что администраторы опасаются неполадок и остановки системы во время обновлений. Из-за этого нередко остаются незакрытыми выявленные ранее уязвимости.

Александр Поляков: «ЕRPSсan SAP Security Intelligence проинформирует только об инцидентах, заслуживающих внимания»

Характерным является риск кражи данных о держателе карты. Эта угроза актуальна для компаний, хранящих и обрабатывающих платежные данные, — банков, процессинговых центров, торгово-сервисных предприятий, платежных шлюзов, розничных сетей.

«Атакующий может получить доступ к таблицам, хранящим данные о держателе карты (таких таблиц в SAP около полусотни). Кража этих данных чревата прямыми денежными и репутационными потерями», — говорит Частухин.

Другой риск связан с неавторизованным доступом к зарплатным данным и возможностью изменить их. Риск такого мошенничества актуален для любой компании.

Еще одна угроза связана с возможностью подделки банковских данных — мошенники внутри организации могут изменить банковские реквизиты любого контрагента в базе данных ERP и перенаправить предназначенные ему средства на собственный счет.

Многие из этих проблем может разрешить система ЕRPSсan Security Monitoring Suite, утверждают в Digital Security.

Как сообщил технический директор компании Александр Поляков, недавно она была усовершенствована. В частности, данное решение было дополнено инструментом Threat Map, который на основании результатов виртуального «пентеста» собственной системы организации строит наглядную карту обнаруженных проблем безопасности. Еще одна новая функция — возможность автоматического исправления некоторых уязвимостей SAP.

Однако, как подчеркнул Поляков, система ЕRPSсan Security Monitoring Suite ориентирована прежде всего на обнаружение уязвимостей. А для отражения атак компания разработала новый продукт ЕRPSсan SAP Security Intelligence. Он позволяет в реальном времени обнаруживать атаки, группировать их по дате, источнику и другим признакам. Функционал данного решения позволяет детектировать такие события, как перебор паролей, неавторизированный запуск RFC-сервисов, атаки на веб-ресурсы, обход аутентификации и др.