ERP-безопасность

ERP-безопасность — это широкий комплекс мер, направленных на защиту систем планирования ресурсов предприятия (ERP) от несанкционированного доступа, обеспечивающих доступность и целостность системных данных. ERP-система — это компьютерное программное обеспечение, которое служит для унификации информации, предназначенной для управления организацией, включая производство, управление цепочками поставок , финансовое управление , управление человеческими ресурсами , управление взаимоотношениями с клиентами , управление эффективностью предприятия .

Обзор

Система ERP объединяет бизнес-процессы, обеспечивающие закупки, оплату, транспорт, управление персоналом, управление продуктами и финансовое планирование. ^[1] Поскольку ERP-система хранит конфиденциальную информацию, Ассоциация аудита и контроля информационных систем ( ISACA ) рекомендует регулярно проводить комплексную оценку безопасности ERP-системы, проверять ERP-серверы на наличие уязвимостей программного обеспечения, ошибок конфигурации, конфликтов разделения обязанностей, соответствия соответствующим стандартам и рекомендациям. и рекомендации производителей. ^[2]^[3]

Причины уязвимостей в ERP-системах

Сложность

Системы ERP обрабатывают транзакции и реализуют процедуры, гарантирующие, что пользователи имеют разные права доступа. В SAP существуют сотни объектов авторизации, позволяющих пользователям выполнять действия в системе. В случае 200 пользователей компании существует примерно 800 000 (100*2*20*200) способов настройки параметров безопасности ERP-систем. ^[4] С ростом сложности возрастает вероятность ошибок и конфликтов разделения обязанностей. ^[2]

Специфика

Поставщики регулярно устраняют уязвимости, поскольку хакеры отслеживают бизнес-приложения, чтобы находить и использовать проблемы безопасности. SAP выпускает исправления ежемесячно во вторник обновлений , Oracle выпускает исправления безопасности каждый квартал в Oracle Critical Patch Update . Бизнес-приложения становятся все более доступными для Интернета или мигрируют в облако. ^[5]

Недостаток компетентных специалистов

Исследование кибербезопасности ERP ^[6] выявило, что организациям, использующим ERP-системы, «не хватает ни осведомленности, ни действий, предпринимаемых для обеспечения безопасности ERP». ^[7] ISACA заявляет, что «не хватает сотрудников, обученных безопасности ERP». ^[4] а службы безопасности имеют поверхностное представление о рисках и угрозах, связанных с ERP-системами. Следовательно, уязвимости безопасности усложняют такие мероприятия, как обнаружение и последующее устранение. ^[5]^[8]

Отсутствие инструментов аудита безопасности

Аудит безопасности ERP выполняется вручную, поскольку различные инструменты в составе пакетов ERP не предоставляют средств для аудита безопасности системы. Ручной аудит — сложный и трудоемкий процесс, который увеличивает вероятность совершения ошибки. ^[2]

Большое количество индивидуальных настроек

Система включает в себя тысячи параметров и тонких настроек, включая разделение обязанностей для транзакций и таблиц, а параметры безопасности устанавливаются для каждой отдельной системы. Настройки ERP-системы настраиваются в соответствии с требованиями клиентов.

Проблемы безопасности в ERP-системах

Проблемы безопасности возникают в ERP-системах на разных уровнях.

Сетевой уровень

Перехват и модификация трафика

Отсутствие шифрования данных

В 2011 году специалисты Sensepost проанализировали протокол DIAG, используемый в системе SAP ERP для передачи данных от клиента на сервер SAP. Были опубликованы две утилиты, позволяющие перехватывать, расшифровывать и изменять клиент-серверные запросы, содержащие критическую информацию. Это сделало возможными атаки, в том числе атаку «Человек посередине» . Вторая утилита работает как прокси и создана для выявления новых уязвимостей. Это позволило модифицировать запросы, поступающие на клиент и сервер. ^[9]

Отправка пароля в виде открытого текста (старые версии прослушивателя SAP J2EE Telnet/Oracle)

В системе SAP ERP можно выполнять функции администрирования по протоколу Telnet , который шифрует пароли.

Уязвимости в протоколах шифрования или аутентификации.

Аутентификация по хешу
Шифрование пароля XOR (SAP DIAG)
Навязывание использования устаревших протоколов аутентификации
Неправильные протоколы аутентификации

Уязвимости в протоколах (например, RFC в SAP ERP и Oracle Net в Oracle E-Business Suite). Протокол RFC используется (удаленный вызов функции) для соединения двух систем по TCP/IP в SAP ERP. RFC-вызов — это функция, которая позволяет вызывать и запускать функциональный модуль, расположенный в системе. Язык ABAP , который используется для написания бизнес-приложений для SAP, имеет функции для выполнения вызовов RFC. В библиотеке SAP RFC версий 6.x и 7.x было обнаружено несколько критических уязвимостей: ^[10]

Функция RFC «RFC_SET_REG_SERVER_PROPERTY» позволяет определить эксклюзивное использование RFC-сервера. Эксплойты уязвимостей приводят к отказу в доступе законным пользователям. становится возможным отказ в обслуживании .
Ошибка в функции RFC «SYSTEM_CREATE_INSTANCE». Эксплуатация уязвимости позволяет выполнить произвольный код.
Ошибка в функции RFC «RFC_START_GUI». Эксплуатация уязвимости также позволяет выполнить произвольный код.
Ошибка в функции RFC «RFC_START_PROGRAM». Эксплуатация уязвимости позволяет выполнить произвольный код или получить информацию о конфигурации RFC-сервера.
Ошибка в функции RFC «TRUSTED_SYSTEM_SECURITY». Эксплуатация уязвимости позволяет получить информацию о существующих пользователях и группах на RFC-сервере.

Уровень операционной системы

Уязвимости программного обеспечения ОС

Любая удаленная уязвимость в ОС используется для получения доступа к приложениям.

Слабые пароли ОС

Удаленный подбор пароля
Пустые пароли для инструментов удаленного управления, таких как Radmin и VNC.

Небезопасные настройки ОС

НФС и СМБ. Данные SAP становятся доступными удаленным пользователям через NFS и SMB
Права доступа к файлам. Критические файлы данных SAP и СУБД Oracle имеют небезопасные права доступа, такие как 755 и 777.
Небезопасные настройки хостов. В доверенных хостах могут быть перечислены серверы, и злоумышленник легко получит к ним доступ.

Уязвимости приложения

ERP-системы переносят больше функций на уровень веб-приложений с большим количеством уязвимостей:

Уязвимости веб-приложений ( XSS , XSRF , SQL-инъекция , разделение ответа, выполнение кода)
Переполнение буфера и строка форматирования на веб-серверах и серверах приложений (SAP IGS, SAP Netweaver, Oracle BEA Weblogic)
Небезопасные права доступа (SAP Netweaver, SAP CRM, Oracle E-Business Suite)

Управление доступом на основе ролей

В ERP-системах модель RBAC ( Role-Based Access Control ) применяется для того, чтобы пользователи могли выполнять транзакции и получать доступ к бизнес-объектам. ^[11] В модели решение о предоставлении доступа пользователю принимается на основе функций пользователей или ролей. Роли — это множество транзакций, которые пользователь или группа пользователей выполняет в компании. Транзакция — это процедура преобразования системных данных, которая помогает выполнить эту транзакцию. Для любой роли существует несколько соответствующих пользователей с одной или несколькими ролями. Роли могут быть иерархическими. После реализации ролей в системе транзакции, соответствующие каждой роли, изменяются редко. Администратору необходимо добавлять или удалять пользователей из ролей. Администратор предоставляет новому пользователю членство в одной или нескольких ролях. Когда сотрудники покидают организацию, администратор удаляет их со всех ролей. ^[12]

Разделение обязанностей

Сегрегация или разделение обязанностей , также известная как SoD, — это концепция, согласно которой пользователь не может совершить транзакцию без других пользователей (например, пользователь не может добавить нового поставщика, выписать чек или заплатить поставщику). ^[13] и риск мошенничества намного ниже. ^[14] SoD может быть реализован с помощью механизмов RBAC, при этом вводится понятие взаимоисключающих ролей. Например, чтобы заплатить поставщику, один пользователь инициирует процедуру оплаты, а другой принимает ее. ^[15] В этом случае инициирование платежа и принятие являются взаимоисключающими ролями. Разделение обязанностей может быть статическим или динамическим. При статическом SoD (SSoD) пользователь не может принадлежать к двум взаимоисключающим ролям. При динамическом SoD (DSoD) пользователь выполняет, но не может выполнять их в рамках одной транзакции. Оба они имеют свои преимущества. SSoD прост, а DSoD гибок. ^[16] Разделение обязанностей объясняется в матрице SoD. Матрицы X и Y описывают роли системы. Если две роли взаимоисключающие, то на перехвате соответствующих строк и столбцов стоит флаг.

Сканеры ERP-безопасности

Сканер ERP Security — это программное обеспечение, предназначенное для поиска уязвимостей в ERP-системах. Сканер анализирует конфигурации ERP-системы, ищет неправильные конфигурации, конфликты контроля доступа и шифрования, небезопасные компоненты и проверяет наличие обновлений. Сканер проверяет параметры системы на соответствие рекомендациям производителя и процедурам аудита ISACA . Сканеры безопасности ERP создают отчеты с уязвимостями, перечисленными в соответствии с их критичностью.

Ссылки

^ «Что такое ERP?» . Проверено 6 апреля 2018 г.
^ Jump up to: ^а ^б ^с Проблемы безопасности в ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx. Архивировано 9 ноября 2015 г. на Wayback Machine.
^ «Почему безопасность должна быть приоритетом для экосистемы ERP» . Информационный век . 31 августа 2017 года . Проверено 6 апреля 2018 г.
^ Jump up to: ^а ^б Аудит безопасности ERP и разделения обязанностей: основа для создания автоматизированного решения https://csbweb01.uncw.edu/people/ivancevicd/classes/MSA%20516/Extra%20Readings%20on%20Topics/Database/ERP%20Security.pdf
^ Jump up to: ^а ^б «Безопасность ERP заслуживает нашего внимания сейчас больше, чем когда-либо» . Форбс . 7 июля 2017 года . Проверено 6 апреля 2018 г.
^ Исследование кибербезопасности ERP, 2017 г. https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/ ^{[ постоянная мертвая ссылка ]}
^ «Опрос показал, что ущерб от мошеннических атак на систему SAP оценивается в 10 миллионов долларов» . ОГО из IDG . 27 июня 2017 г. Проверено 6 апреля 2018 г.
^ «Шесть классических проблем безопасности ERP-системы – и как их избежать» . Облачные технологии . 10 мая 2017 года . Проверено 6 апреля 2018 г.
^ ERPScan предупреждает о новых уязвимостях протокола DIAG в SAP.
^ Множественные уязвимости библиотеки SAP RFC http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2
^ Безопасность для систем планирования ресурсов предприятия http://www.utdallas.edu/~bxt043000/Publications/Journal-Papers/DAS/J46_Security_for_Enterprise_Resource_Planning_Systems.pdf
^ Управление доступом на основе ролей http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf
^ Термины глоссария ISACA http://www.isaca.org/Knowledge-Center/Lists/ISACA%20Glossary%20Terms/DispForm.aspx?ID=1700
^ Подход, основанный на риске о разделении обязанностей http://www.ey.com/Publication/vwLUAssets/EY_Segregation_of_duties/$FILE/EY_Segregation_of_dutie/s.pdf
^ РА Бота и Дж. Х. П. Элофф Разделение обязанностей по обеспечению контроля доступа в средах рабочих процессов
^ Простой поиск http://www.bth.se/fou/cuppsats.nsf/all/52d12689b4758c84c12572a600386f1d/$file/mcs-2006-16.pdf . Архивировано 26 февраля 2015 г. на Wayback Machine.

[Oracle-1] «Что такое ERP?» . Проверено 6 апреля 2018 г.

[isaca.org-2] Jump up to: ^а ^б ^с Проблемы безопасности в ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx. Архивировано 9 ноября 2015 г. на Wayback Machine.

[Information_Age-3] «Почему безопасность должна быть приоритетом для экосистемы ERP» . Информационный век . 31 августа 2017 года . Проверено 6 апреля 2018 г.

[csbweb01.uncw.edu-4] Jump up to: ^а ^б Аудит безопасности ERP и разделения обязанностей: основа для создания автоматизированного решения https://csbweb01.uncw.edu/people/ivancevicd/classes/MSA%20516/Extra%20Readings%20on%20Topics/Database/ERP%20Security.pdf

[Forbes-5] Jump up to: ^а ^б «Безопасность ERP заслуживает нашего внимания сейчас больше, чем когда-либо» . Форбс . 7 июля 2017 года . Проверено 6 апреля 2018 г.

[6] Исследование кибербезопасности ERP, 2017 г. https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/ ^{[ постоянная мертвая ссылка ]}

[CSO-7] «Опрос показал, что ущерб от мошеннических атак на систему SAP оценивается в 10 миллионов долларов» . ОГО из IDG . 27 июня 2017 г. Проверено 6 апреля 2018 г.

[CloudComputing-8] «Шесть классических проблем безопасности ERP-системы – и как их избежать» . Облачные технологии . 10 мая 2017 года . Проверено 6 апреля 2018 г.

[9] ERPScan предупреждает о новых уязвимостях протокола DIAG в SAP.

[10] Множественные уязвимости библиотеки SAP RFC http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2

[11] Безопасность для систем планирования ресурсов предприятия http://www.utdallas.edu/~bxt043000/Publications/Journal-Papers/DAS/J46_Security_for_Enterprise_Resource_Planning_Systems.pdf

[12] Управление доступом на основе ролей http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf

[13] Термины глоссария ISACA http://www.isaca.org/Knowledge-Center/Lists/ISACA%20Glossary%20Terms/DispForm.aspx?ID=1700

[14] Подход, основанный на риске о разделении обязанностей http://www.ey.com/Publication/vwLUAssets/EY_Segregation_of_duties/$FILE/EY_Segregation_of_dutie/s.pdf

[15] РА Бота и Дж. Х. П. Элофф Разделение обязанностей по обеспечению контроля доступа в средах рабочих процессов

[16] Простой поиск http://www.bth.se/fou/cuppsats.nsf/all/52d12689b4758c84c12572a600386f1d/$file/mcs-2006-16.pdf . Архивировано 26 февраля 2015 г. на Wayback Machine.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]