Men mange ERP-systemer er svært komplekse med et variert sett av interessenter i virksomheten. De har også vært på plass i flere tiår i enkelte bedrifter, og kan ha samlet mange års teknisk gjeld -. Gjør ERP sikkerhet vanskelig og kostbart å vedlikeholde

Disse grunnene kan være betydelige bidragsytere til listen over SAP sårbarheter identifisert ved Onapsis Inc. i en fersk rapport. Likevel bør funnene i rapporten ikke fraråde bedrifter fra å bruke ERP-systemer, og heller ikke skremme informasjonssikkerhet lag når adressering sikkerhet for SAP-systemer. Hvis det fulgte en rekke beste praksis, kan ERP-systemer være gunstig og trygt.
SAP sårbarheter

I sin rapport, Onapsis fant forskerne mer enn 95% av SAP-systemer er utsatt for sårbarheter som kan føre til en skadelig kompromiss av bedriftens data og prosesser.

Disse problemene ble identifisert gjennom hundrevis av sikkerhetsvurderinger av SAP-systemer.

Forskere uttalt at det synes å være en frakobling mellom bedriftsinformasjon sikkerhets team og SAP driftsteam; SAP sikkerhetsproblemene identifisert støtte denne påstanden gitt sikkerhetsproblemene er grunnleggende informasjon sikkerhetsproblemer som sannsynligvis er omtalt i andre deler av virksomhetens informasjonssikkerhet program.

Ifølge Onapsis rapport, de tre vanligste angrepsvektorer på SAP-systemer som truer ERP sikkerhet er:

En lav-sikkerhet kunde webportal,

Ondsinnede kontoer blir brukt i kunde eller leverandør portaler; og Selge
Sikkerhetsproblemer i de underliggende database protokoller.

Alle tre av disse spørsmålene bidrar til den tekniske gjelden i å sikre et SAP-system.
SAP sårbarheter som er identifisert er grunnleggende informasjonssikkerhet problemer som sannsynligvis er omtalt i andre deler av virksomhetens informasjonssikkerhet program.

I den første vektoren, for eksempel en lavere sikkerhet kunde webportal som er utsatt for Internett kan settes opp til å tillate kundene å koble fra hvor som helst å legge inn bestillinger. Men dette kan kunden webportal brukes som en del av et angrep, med angriperen sving fra nedre-sikkerhetssystemet til andre mer kritiske systemer, og til slutt hele SAP-systemet.

I det andre angrepet vektor, kunde- og leverandørportaler kan potensielt bli infiltrert; bakdør brukere kan dreie SAP portaler og andre plattformer for å fortsette på og angripe det interne nettverket.

I tredje angrepsvektor en angriper kan utnytte usikre database protokollkonfigurasjoner som ville tillate dem å utføre kommandoer på operativsystemet . På dette punktet, har angriperen full tilgang til operativsystemet, og kan potensielt endre eller forstyrre noen informasjon som er lagret i databasen.

Merk at disse er alle vanlige angrepsmetoder og bør ikke være overraskende på noen informasjonssikkerhet profesjonell .
Beste praksis for SAP og ERP sikkerhets

Mens bedrifter trenger for å inkludere alle systemer i en informasjonssikkerhet program, bør de spesifikke ressurser viet til å sikre en bestemt ressurs tilsvarer systemets verdi til organisasjon. Disse verdi eiendeler bør etableres gjennom en virksomhet konsekvensanalyse.

I tillegg, selv om bedriftene kan være nølende til å gjøre noen endringer i produksjonssystemer, alle systemer må ha grunnleggende informasjonssikkerhet hygiene på plass for å hindre at sikkerhetshendelser. Disse grunnleggende trinnene er nødvendige for å forebygge, dempe, forsvare og overvåke sikkerhetshendelser. SAP har en sikkerhetsveiledning og SearchSAP har mange ressurser på grunnleggende sikkerhetskontroller er nødvendig for et SAP-system - inkludert sårbarhetsanalyse, patch management og rollebasert tilgangskontroll. Sårbarhetsstyring kan implementeres i et SAP-system ved periodisk skanning applikasjon, web, database og andre tilknyttede servere, og deretter mate disse dataene i en patch management program for testing og distribusjon. Og mens rollebasert tilgangskontroll er kritisk for applikasjonssikkerhet, bør det også utvide til andre deler av systemet slik at riktig separasjon av oppgaver opprettholdes for å begrense risikoen for rogue bruk.

Gitt den kritiske natur SAP systemer, har en stor bekymring for pågående sikkerhetskontroller vært potensial for nedetid fra sikkerhet. Hvis et SAP-system ikke kan være " ned " for forretningsmessige årsaker, bør planene være på plass om hvordan du søker patcher eller gjøre andre endringer i sikkerheten uten å forstyrre driften. Dette kan inkludere å sikre en høy tilgjengelighet systemet er på plass, for eksempel en backup-system som automatisk tar over når primærsystemet blir lappet eller har endringer som er gjort.

Et annet hensyn å huske på er at andre sikkerhetsteknologier - som for eksempel en Intrusion Detection system, overvåking verktøy, blant andre - som bør være på plass, kan spesielt tilpasset for å overvåke et SAP-system

i tillegg, overvåking SAP applikasjonslogger er nødvendig for å identifisere. kompromitterte kontoer eller annen skadelig aktivitet på applikasjonsnivå. Bruke begrepet minst privilegium - inkludert begrenset nettverkstilgang i hele -. Vil gjøre det vanskeligere for en angriper å finne en utnyttes sårbarhet for å få full tilgang eller for enkelt å identifisere andre systemer for angrep

Igjen, bedrifter må sikre at alle systemer er en del av deres informasjonssikkerhet program - inkludert SAP-systemer. Eksklusive SAP-systemer i det siste er det som har gjort det mulig for disse grunnleggende sikkerhetsproblemer til å fortsatt være til stede i SAP-systemer i dag.

Noen av disse sikkerhetsproblemene har blitt godt kjent i informasjonssikkerhet samfunnet i flere tiår, så søker de prosessene og fikser funnet utenfor SAP-systemer kan forbedre SAP sikkerhet og forhindre mer alvorlige hendelser fra å påvirke kritiske forretningsdrift.