добавить в избранное

Безопасность SAP: миф или реальность

Среди компьютерных пользователей получил широкое распространение миф о том, что SAP - это безопасная система и единственная ее проблема - это матрицы SOD. Но давайте поглубже рассмотрим данную проблему. За последние несколько лет было проведено множество исследований безопасности SAP. Так, например, SAP подвергалась атакам на SAPGUI и SAP Router, огромное количество квалифицированных компьютерных специалистов искали ее уязвимости. Но SAP это учитывает и еще больше расширяет отдел Security Response Team. Между тем, компания все же признает проблемы безопасности и выпускает документы, в которых подтверждает различные уязвимости, связанные с отсутствием единой базы требований к безопасности.

Особое внимание должны уделять этой проблеме пользователи платформы SAP NelWeaver J2EE Engine, в которой, по сравнению с АВАР Engine, уделено крайне мало внимания, а по ее безопасности на сегодняшний день практически не было исследований. Данная платформа очень часто применяется в различных продуктах и обеспечивает интеграцию и контроль над бизнес-приложениями. Нельзя недооценивать степень опасности использования данной платформы. Так, например, если злоумышленник взломает портал предприятия в Интернете, использующего платформу SAP, то через SSO он сможет получить доступ ко всем ресурсам программы. Также злоумышленники очень часто внедряют вредоносный код в уязвимый SAP Solution Manager, получая таким образом доступ ко всей SAP системе.

Также исследовательский центр Digital Security проводил исследования безопасности Java движка, который использует SAP и обнаружил более 200 различных уязвимостей, но осталось еще много неизученных областей и огромное количество пока еще неизвестных уязвимостей.Безопасность платформы SAP: миф или реальность Так, самые критичные, из обнаруженных уязвимостей, позволяют обойти механизм аутентификации и выполнить любое действие в системе с помощью удаленного доступа, не используя никаких пользовательских данных. В случае если система имеет доступ в Интернет, даже двухфакторная аутентификация не спасет от данной атаки, и злоумышленник сможет элементарно получить доступ к сердцу компании удаленно. Так что, использовать или нет SAP систему - решать только Вам.