开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

如何抵御SAP漏洞?

简介:
+关注继续查看

最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。

企业资源规划(ERP)系统是很多大型企业的主要组成部分,也是成功运行业务的关键。

如何抵御SAP漏洞?

然而,很多ERP系统非常复杂,在整个企业涉及各种的利益相关者。有些企业的ERP已经使用了几十年,可能已经积累了多年的技术问题,这让ERP安全难以维护且非常昂贵。

这些也可能是Onapsis在最新报告中发现SAP漏洞的主要原因。然而,该报告的研究结果不应该劝阻企业使用ERP系统,也不应该吓唬正在试图解决SAP安全问题的信息安全团队。如果遵循安全最佳做法,ERP系统仍然很有用和安全。

SAP漏洞

在报告中,Onapsis研究人员发现超过95%的SAP系统存在漏洞,这些漏洞可能给企业数据和流程造成灾难性影响。

这些研究人员通过对SAP系统的数百次安全评估发现了这些问题。

研究人员称,企业信息安全团队和SAP运营团队之间似乎存在脱节;他们发现的SAP漏洞证实了这一说法,因为这些漏洞都是基本的信息安全问题,完全可能在企业信息安全计划的其他部分中得到解决。

根据Onapsis的报告称,SAP系统中威胁ERP安全的前三个最常见攻击向量包括:

1. 低安全性客户门户网站;

2. 客户或供应商门户网站中使用的恶意账户;

3. 底层数据库协议中的漏洞。

所有这三个问题都影响着对SAP系统的保护。

例如,在第一个攻击向量中,低安全性客户门户网站可设置为允许用户从任何地方连接来发出订单。然而,这个客户门户网站可以用作攻击的一部分,攻击者可从低安全性系统转移到其他更重要的系统,并最终感染整个SAP系统。

在第二个攻击向量中,客户和供应商门户网站可能会攻击;后门攻击者可以从SAP门户网站和其他平台继续来攻击内部网络。

在第三个攻击向量中,攻击者可以利用不安全的数据库协议配置,让他们可以在操作系统执行命令。这样的话,攻击者就可以完全访问操作系统,并可潜在地修改或破坏数据库中存储的任何信息。

请注意,这些都是常见的攻击方法,所有信息安全专业人员应该都不会感到陌生。

SAP和ERP安全最佳做法

虽然企业需要在信息安全计划中涵盖所有系统,保护特定资产的特定资源应该与系统对企业的价值相对应。而这些资产的价值应该通过业务影响分析来确定。

此外,虽然企业可能会对生产系统的任何变更有所迟疑,所有系统必须部署基本的信息安全防御以防止安全事故的发生。这些基本步骤可以防止、缓解、抵御和监测安全事件。SAP提供了一个安全指南,SearchSAP也有很多资源,可帮助企业确保SAP系统的基本安全控制,包括漏洞管理、修复管理和基于角色的访问控制等。漏洞管理可以部署在SAP系统中,定期扫描应用、网络、数据库和其他相关的服务器,然后将这些数据整合到修复管理程序进行测试和部署。虽然基于角色的访问控制是应用安全的关键,这也应该扩展到系统的其他方面,以确保适当的职责分离来限制恶意使用的风险。

鉴于SAP系统的重要性质,持续安全控制对SAP带来的主要影响是可能出于安全原因让SAP系统停机。如果因为业务原因SAP系统不能停机,企业应该部署计划来确定如何修复漏洞或者进行其他不会中断业务的安全更改。这可能包括确保部署高可用性系统,例如备份系统,当主要系统在进行修复或作出更改时会自动接管。

另一个需要注意的事情是,其他安全技术(例如入侵检测系统、监控工具等)可以专门调整为监控SAP系统。

同时,监控SAP应用日志可帮助发现受感染的账户或其他应用水平的恶意活动。使用最小特权的概念(包括限制整个网络访问)可以让攻击者更加难以找到可利用的漏洞来获得完整的权限,或防止攻击者很容易地发现可攻击的其他系统。

另外,企业需要确保所有系统都是其信息安全计划的一部分,包括SAP系统。要知道,在过去没有涵盖SAP系统使得这些基本安全漏洞仍然存在现在的SAP系统中。

在信息安全领域,有些漏洞已经出现数十年,因此,部署这些SAP系统外发现的程序和修复会显著提高SAP安全性,并且可以防止更严重事故感染关键业务操作。


作者:Nick Lewis


来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Spring——Spring容器创建对象的特点
Spring——Spring容器创建对象的特点
27 0
nginx 网站漏洞该如何修复
服务器的安全防护中,网站环境的搭建与安全部署也是很重要的一部分,目前大多数的服务器都使用的是nginx来搭建网站的运行环境,包括windows服务器,linux服务器都在使用,nginx的安全设置对于服务器安全起到很重要的作用。关于如何设置nginx安全,以及服务器的安全部署,详细的给大家介绍一下网站漏洞该如何修复:
117 0
宝塔漏洞防御 防止数据库被删的方案
2020年8月23日,SINE安全监测中心,监测到宝塔官方发布了漏洞补丁更新,该宝塔漏洞会导致phpmyadmin无需密码就能访问,并且能够对数据库进行增删改查等操作,由于宝塔Linux7.4.2版本和Windows6.8版本存在未授权访问漏洞,很多站长朋友们的网站遭到删库。见到同行因为这一漏洞被删库,搞得悲痛欲绝,吓得站长们赶紧按照BT官方的提示去更新了,有些站长还没等更新完,也遭到了删库。
218 0
Redis过期策略和内存淘汰机制
Redis缓存作为提高系统性能最好的方式相信大家对其一定不陌生,各位作为秃头老码农不仅需要掌握Redis的基础用法还得了解Redis的相关原理,比如Redis过期策略和内存淘汰机制。
104 0
第7课:Java Spring Boot 2.0安全机制、漏洞与MVC身份验证实战
本期分享主题:Java Spring Boot2.0实战MyBatis与优化 (Java面试题) Java Spring Boot 2.0是最新的开发平台,深入介绍Spring Boot 2.0 安全特性与原理、机制,以及如何实现 MVC网站和API身份验证,对于常见的安全问题和处理策略,以及可行的安全方案,最后是经典Java面试题。
2980 0
用spring boot 2从零开始创建区块链
区块链这么火的技术,大java怎能落后,所以有了本文,主要代码参考自 Learn Blockchains by Building One , 中文翻译:用Python从零开始创建区块链 。 一、区块链对象模型的基础属性(BlockChain) 区块链的基本数据模型参考:最基本的区块链hello world(python3实现) 。
1462 0
《Spring实战(第4版)》——导读
现在,已经过去了很多年,Spring也发布了众多的版本,我们可以看到Spring在企业级应用开发领域已经有了巨大的影响力。对于无数的Java项目来说,它就是事实上的标准,并且对于一些规范和它本来想取代的框架,Spring也对其演进产生了影响。
2684 0
某网站漏洞排查经验
在这里分享一些之前对某网站会员/用户系统(一般域名都是passport.xx.com)进行漏洞检查查出的一些问题,这些问题大多都是逻辑类漏洞,利用漏洞进行攻击并不需要什么高深的技术能力,所以危害尤其大,把相关经验分享给大家希望大家可以自查。
1165 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3913
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载