信息來源:企業(yè)網(wǎng)
DHS報告稱,一個2010年已修復(fù)的SAP漏洞導(dǎo)致30多家跨國企業(yè)遭受數(shù)據(jù)泄露事故。這個漏洞讓攻擊者可獲取這些企業(yè)系統(tǒng)中業(yè)務(wù)信息和流程的遠程管理權(quán)限。那么,為什么補丁沒有發(fā)揮作用,企業(yè)應(yīng)該怎么做來確保系統(tǒng)安全?
在很多企業(yè)中,SAP仍然在用于運行關(guān)鍵任務(wù)系統(tǒng),而同時,這些企業(yè)也都在努力應(yīng)對SAP安全問題,包括輔助系統(tǒng)和其他關(guān)鍵任務(wù)系統(tǒng)的安全性。這些系統(tǒng)通常非常復(fù)雜,并有大量定制化和集成應(yīng)用用于支持關(guān)鍵業(yè)務(wù)流程,這使得企業(yè)對這些系統(tǒng)的變更非常謹(jǐn)慎。SAP已經(jīng)發(fā)布了補丁用于緩解這個特定SAP漏洞,這個補丁需要手動配置,并在部署前還需要進行全面測試。
這個補丁未被有效部署和使用的原因之一是,企業(yè)可能非常警惕這對集成到SAP環(huán)境的定制應(yīng)用的潛在影響,因為這些應(yīng)用可能依靠這個特定SAP漏洞功能(這可在測試環(huán)境確認(rèn))。同時,企業(yè)無法確定應(yīng)該由哪個部門負(fù)責(zé)修復(fù)SAP環(huán)境中不同組件,SAP環(huán)境可能包括數(shù)據(jù)庫、中間件(Java應(yīng)用服務(wù)器)、Java、web服務(wù)器和操作系統(tǒng)。
運行SAP的企業(yè)應(yīng)該注意在合理時間段內(nèi)不遵守SAP安全建議帶來的安全風(fēng)險。企業(yè)可能假設(shè)沒有人會找到他們的SAP端口,沒有人會發(fā)現(xiàn)他們的防火墻保護著其內(nèi)部系統(tǒng),但事實是,攻擊者可能比他們想象中可更容易地發(fā)現(xiàn)易受攻擊的SAP環(huán)境。CERT也向企業(yè)發(fā)出警報建議修復(fù)SAP環(huán)境,部署資源來保護其系統(tǒng)。
企業(yè)應(yīng)該做的第一步是通過Onapsis發(fā)布的攻擊指標(biāo)來確認(rèn)其SAP環(huán)境是否已經(jīng)遭受攻擊。無論修復(fù)這個SAP漏洞需要多少手動配置步驟,該軟件制造商已經(jīng)發(fā)布了安全補丁,企業(yè)應(yīng)該采取措施在所有系統(tǒng)(包括關(guān)鍵任務(wù)系統(tǒng))部署補丁。企業(yè)可使用漏洞掃描儀來掃描與SAP相關(guān)的所有系統(tǒng),以發(fā)現(xiàn)易受攻擊的SAP組件。