[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

Az SAP alapú infrastruktúrák jelentős része meglehetősen könnyen kihasználható, komoly károk előidézésére alkalmas sérülékenységeket tartalmaz.

Az elmúlt években a kiberbűnözés már bebizonyította, hogy a vállalatokat, intézményeket is előszeretettel állítja célkeresztbe annak érdekében, hogy minél több bizalmas információhoz férhessen hozzá. Ebből a szempontból a szervezeteknél üzemeltetett informatikai rendszerek különböző mértékben ugyan, de számos veszélyforrásnak van kitéve. Különösen igaz mindez az ERP-rendszerekre, amelyek értékes adatok millióit tartalmazhatják. Az Onapsis biztonsági cég pontosan arra volt kíváncsi, hogy az SAP-alapú infrastruktúrák esetében a szervezetek mennyire veszik komolyan az adatok védelmét.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/sap_1.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/sap_1.jpg” align=”center”/]

Az Onapsis több mint 600 SAP-rendszer penetrációs teszteléséből gyűjtött adatai, tapasztalatai alapján állította össze a legújabb felmérését, amelyben elsősorban az ERP és az egyéb üzletileg kritikus alkalmazásokat vette górcső alá. A vizsgálatok során kiderült, hogy az SAP-rendszerek 95 százaléka tartalmaz legalább egy olyan sérülékenységet, amely alkalmas arra, hogy illetéktelen személyek hozzáférjenek bizalmas adatokhoz, illetve manipulálják vagy szabotálják a rendszerek működését. Sok esetben olyan biztonsági résekre is fény derült, amik kihasználásával illetéktelenek hozzáférési adatok megadása nélkül is hozzájuthattak titkos információkhoz.

„Multinacionális vállalatok, kormányzati szervek, védelmi ügynökségek is használnak SAP-t az olyan mindennapi tevékenységeik támogatásához, mint amilyen a pénzügyi tervezés, a bérek kezelése valamint a logisztika. Amennyiben egy SAP-rendszert a támadók célba vesznek, akkor adatokhoz férhetnek hozzá, a rendszer leállításával megbéníthatják az adott vállalatot vagy pénzügyi információkat manipulálhatnak” – mondta Juan Perez-Etchegoyen, az Onapsis műszaki igazgatója egy amszterdami biztonsági konferencián. Majd hozzátette, hogy az alapvető problémát az jelenti, hogy a vállalatok sokszor nem is ismerik a kockázatokat, ami nyilvánvalóan jelentősen hátráltatja a megfelelő védelem kialakítását.

Elmaradó frissítések

Az Onapsis a vizsgálatai során arra a következtetésre jutott, hogy sok incidens forrásául az szolgál, hogy a szervezetek nem telepítik fel az SAP által kiadott patch-eket, és ezáltal számtalan biztonsági rést hagynak nyitva a támadók előtt. „Az SAP keményen dolgozik a biztonságért, és jól is végzi ezt a tevékenységét, viszont az ügyfelek nem mindig tudják tartani a lépést” – vélekedett Juan Perez-Etchegoyen.

A rendszerfrissítések gyors elvégzése azonban sok esetben nem könnyű feladat, aminek egyik oka, hogy a legtöbb SAP-rendszer meglehetősen testreszabott. Így az informatikusoknak egy frissítés telepítése előtt körültekintőnek kell lenniük, és megfelelő teszteket kell elvégezniük. Meg kell ugyanis győződniük arról, hogy a patch-ek telepítésével nem fognak károkat okozni, és a rendszer funkcionalitása, rendelkezésre állása nem sérül.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/sap_2.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/sap_2.jpg” align=”center” alt=”Forrás: Onapsis”/]

Az Onapsis műszaki igazgatója arra is kitért, hogy viszonylag keveset lehet hallani SAP-rendszerek meghackeléséről. A szakember szerint ugyanakkor vannak ilyen nemkívánatos események, de azok korántsem mindig kerülnek nyilvánosságra. „A rossz PR az egyik oka annak, hogy a cégek nem számolnak be a biztonsági incidensekről. Néha pedig a vállalatok maguk sem tudják azt, hogy támadás érte őket” – nyilatkozta Perez-Etchegoyen.

A károk megelőzése szempontjából nagyon fontos lenne, hogy a vállalatok, intézmények naprakészen tartsák a rendszereiket, és megbizonyosodjanak arról, hogy a különféle szolgáltatások, alkalmazások konfigurációja megfelel-e a védelmi követelményeknek.

Forrás: Biztonságportál

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest