我的编程空间,编程开发者的网络收藏夹
学习永远不晚

SAP环境中的8大安全错误分别是什么

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

SAP环境中的8大安全错误分别是什么

SAP环境中的8大安全错误分别是什么,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

现代SAP足迹的复杂性和常见的安全故障使许多组织暴露在可避免的风险中。

配置错误和其他错误(其中许多是多年来众所周知的)不断破坏企业SAP环境的安全性。SAP足迹的迅速复杂性增长是造成这种情况的一个重要原因。多年来,SAP应用程序一直在变化和发展,现在已经连接到无数其他系统和应用程序。

典型的SAP环境由许多自定义代码和定制组件组成,这些组件相互通信,并通过各种API和接口与外部系统进行通信。ERP领域的安全供应商Onapsis的CTO  Juan Perez-Etchegoyen说,新的代码和协议与与传统环境相互作用,并继承它们的安全漏洞和缺陷。

他指出,不断地对概要文件、参数和配置进行更改,以适应新的业务流程,但很少了解潜在的安全隐患。这些环境的复杂性使他们充满了安全漏洞。

今年早些时候,随着针对两个主要SAP组件中已知配置错误的一组漏洞的公开发布,这个问题成为了人们关注的焦点。这些漏洞被统称为10KBlaze,为攻击者提供了一种获得对SAP环境的完全远程管理控制的方法,并促使US-CERT发出了警告。

下面是企业SAP环境中最常见的一些配置错误和安全故障。

1. 配置ACL

访问控制列表(ACL)控制不同SAP系统之间,以及SAP和非SAP环境之间的连接和通信。它们还决定用户对SAP系统的访问。

Perez-Etchegoyen说,控制SAP系统和外部系统之间,或SAP系统之间连接的ACL通常配置很差,漏洞很多,允许一个系统上的人轻松地访问另一个系统。他说,在渗透测试中,配置错误的ACL几乎总是显示为攻击者提供了在SAP环境中横向移动的方法。

例如,Onapsis在5月份披露的10KBlaze漏洞就是为了利用SAP网关和SAP消息服务器中配置不良的ACL。这些漏洞使攻击者能够完全控制SAP环境,以便查看、删除或修改数据、关闭系统和执行其他恶意操作。

Onapsis 的CTO表示,SAP环境中经常配置不安全ACL的其他组件包括SAP Internet Communication  Manager(ICM),SAP Dispatcher,用于远程监控和管理的SAP Management Console以及用于OS监控的SAP Host  Agent ACL。

SAP本身长期以来一直警告组织注意配置不当ACL的危险。在这方面,新版本的应用程序要比旧版本安全得多,默认情况下ACL的设置也要严格得多,Perez-Etchegoyen说。尽管如此,不安全的ACL仍然是SAP世界中最大的可避免的漏洞之一。

2. 弱用户访问控制

大多数SAP软件都有一个或多个具有高度特权和管理员级别访问权限的默认用户帐户。访问此类帐户的恶意用户可能造成严重损害。专注于SAP系统的咨询公司Enowa  LLC的高级董事Jonathan Haun说,这类账户的例子包括SAP*和DDIC,以及SAP HANA中的系统用户账户。

Haun说:“黑客知道这些账户的存在,他们会首先攻击这些账户。”他表示:“企业要么在必要时禁用这些账户,要么使用非常复杂、随机生成的密码,而这些密码无法被猜到。”在某些情况下,甚至有软件产品允许管理员安全地暂时使用这些帐户。

Perez-  Etchegoyen说,SAP环境,尤其是那些随着时间的推移而发展起来的环境,其中有很多帐户,很容易被滥用,从而给恶意用户提供完全的管理员权限,甚至超级管理员访问环境中的所有内容。“这是SAP安全卫生的一个领域,很多组织肯定需要改进。”

3. 不安全的自定义代码

SAP Global security负责安全通信的副总裁Gert  Schroeter认为,组织围绕其SAP环境构建的自定义代码和功能常常存在bug,并且包含安全漏洞。“在软件开发生命周期方面,我们确实看到了很多问题,”Schroeter说。

在快速发布软件的压力下,开发组织在构建和部署软件时,常常很少关注安全基础,比如代码漏洞分析、代码扫描和bug搜索。Schroeter表示:“我们谈论的是设计上的安全,以及默认情况下的安全。”在许多有SAP足迹的组织中,“最终情况并非如此”。

4. Sloppy补丁管理

由于大多数SAP环境的关键任务性质,管理员常常犹豫不决或不愿意做任何可能破坏可用性的事情。一个结果是,安全补丁和更新——即使是针对最关键的漏洞,往往很少被快速应用,有时甚至根本不应用。

Perez-Etchegoyen说,在SAP环境中应用补丁意味着通过开发,QA,预生产以及所有其他多个层次来了解其影响。管理员确保补丁不会破坏现有流程或接口所需的时间通常会导致所需的补丁即使在首次可用后数年也未实施。

Schroeter补充说,由于缺乏信息,许多组织很难在现场SAP系统上识别和实现所需的补丁。他指出,管理员需要定期关注漏洞公开站点和数据库,并订阅资源,以便定期更新补丁信息。

5. 不受保护的数据

如今,SAP环境几乎可以连接到任何东西,并且几乎可以从任何地方直接或间接访问。许多SAP工作负载也开始转移到云上。

然而,通常实际的数据本身(尽管任务很关键)并没有得到保护。很少有公司会在传输或休息时对数据进行加密,并在加密过程中使数据暴露于不当访问和滥用的风险之中。Haun说:“对于云计算和托管环境,他们错误地认为供应商正在实现网络加密和其他安全标准。”

当您的SAP数据库由第三方(尤其是第三方)托管时,应该对其余数据进行加密,以防止不受信任的用户访问数据。他说:“许多组织利用托管和IaaS云平台,因此强烈建议对数据、事务日志和备份文件进行加密。”

6. 密码管理不善

ERP系统和连接到它们的应用程序包含关键信息,但往往受到弱密码和密码管理实践的保护。使用默认密码或跨帐户使用相同密码保护的高度特权帐户的访问并不罕见。弱密码当然是跨应用程序的一个问题,但在关键的SAP环境中尤其有问题。

Haun说,一些组织不支持密码的基本标准,这可能导致帐户被入侵,黑客使用有效的用户帐户和密码造成无法检测到的损害。他建议:“应该配置SAP系统,使用户帐户密码变得复杂,并且每年要修改几次。”

超级用户和管理员密码不应该给普通用户使用,并被锁定在数字保险箱。Schroeter建议,组织应该实现更强大的控制,包括SSO、双因素和基于上下文的身份验证,而不是依赖于宏和基于文本的身份验证。

7. 未能制定应急响应计划

对许多组织来说,面临的一个大问题是缺乏足够的危机管理计划。Schroeter说,很少有人有应对正在展开的攻击的程序,也很少有人有应对危机的指挥系统。

他说,SAP进行的一项调查显示,企业担心数据丢失、灾难恢复能力以及ERP环境中的业务连续性,但很少有企业有应对危机的计划。

8. 日志记录和审计不足

日志记录和审计对于实现跨SAP环境监视系统活动所需的可见性至关重要。它可以帮助管理员密切关注特权用户,并监控对应用程序、数据和数据库的访问以及对它们的任何身份更改。

然而,Haun说,大多数组织没有提供足够的审计策略来跟踪SAP系统中的关键操作。这包括应用服务器层和数据库层。他表示:“审计数据可以用于主动检测攻击,也可以在攻击后提供取证数据。”

Schroeter说,SAP本身已经为其产品添加了很多安全功能,并且多年来一直以安全默认配置提供这些功能。该公司提供了有关配置漂移等关键主题的指导,以及如何处理安全补丁和为其软件添加安全功能。他表示:“客户需要开始处理这个问题,并开始以整体的方式解决网络安全问题。”

与SAP应用程序一样,解决安全问题也很复杂。Schroeter指出,组织需要实现一个安全计划,确定风险的优先级,并找出一个正式的方法来减轻对SAP环境的威胁。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注编程网行业资讯频道,感谢您对编程网的支持。

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

SAP环境中的8大安全错误分别是什么

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

SAP环境中的8大安全错误分别是什么

SAP环境中的8大安全错误分别是什么,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。现代SAP足迹的复杂性和常见的安全故障使许多组织暴露在可避免的风险中。配置错误
2023-06-17

使用Xfce Linux桌面环境的8个理由分别是什么

使用Xfce Linux桌面环境的8个理由分别是什么,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。整体上很优雅的 Xfce 桌面所具备的足够轻巧和快速的特性能够让它很容易都
2023-06-05

设置服务器安全环境的4个Nginx小技巧分别是什么

这篇文章给大家介绍设置服务器安全环境的4个Nginx小技巧分别是什么,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。分享我们常用的WEB环境安全技巧,一般我们使用NGINX比较多的,对于一般的安全我们很少有去其他的操作,
2023-06-05

购买或者代购Dreamhost主机过程中的三大误区分别是什么

购买或者代购Dreamhost主机过程中的三大误区分别是什么,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。误区一:代购Dreamhost主机的人靠退款或者拒付来赚钱现在网上
2023-06-12

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录