Bedrifter faller bak for å sikre sine SAP-miljøer

Mer enn 95 prosent av SAP-systemene som er distribuert i bedrifter, blir utsatt for sårbarheter som kan føre til et fullstendig kompromiss mellom forretningsdata, et sikkerhetsfirma hevder.

Onapsis, et Boston-basert selskap som spesialiserer seg på sikkerhetsrevisjoner i SAP, fant også at gjennomsnittlig time-to-patch for SAP-sårbarheter er over 18 måneder - 12 måneder for SAP å utstede reparasjoner og 6 måneder for bedrifter å distribuere dem.

Dette tyder på at mange selskaper faller bak SAPs sikkerhet, selv om disse systemene

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

På grunnlag av hundrevis av sikkerhetsvurderinger fastslår Onapsis at de mest sannsynlige angrepsscenariene for å kompromittere S AP-systemer er disse: Pivoting fra et lavere sikkerhetssystem til en kritisk en for å utføre fjernfunksjonsmoduler; opprette backdoor-kontoer på SAP J2EE User Management Engine ved å utnytte sårbarheter for å få tilgang til SAP-portaler og andre interne systemer; og utnytte sårbarheter i SAP RFC Gateway til å utføre operativsystemkommandoer med SAP administrasjonsrettigheter for å skaffe eller modifisere informasjon i SAP-databaser.

En av utfordringene organisasjonene står overfor er at de ikke pålitelig kan bruke sikkerhetsstyringsprodukter for SAP som de Gjør for andre IT-systemer, ifølge Carsten Eiram, sjefforsker ved sikkerhetsinformasjonsfirma risikobasert sikkerhet.

"Årsaken er at sporing av SAP-produktsårbarheter er svært vanskelig på grunn av SAPs antatte retningslinjer for offentliggjøring: De gir informasjon om sårbarheter Kun til kunder via en tilgangsbegrenset portal, sa Eiram via e-post. "Videre har kunder ikke lov til å dele denne informasjonen med andre parter som databaser med sårbarhet."

Dette tvinger mange bedrifter til å holde rede på SAPs sikkerhetsinformasjon selv, i stedet for å stole på sikkerhetsprodukter, noe som kanskje delvis forklarer hvorfor mange av dem er sakte i å distribuere SAP-patcher, sa Eiram.

SAP utgitt 391 sikkerhetsoppdateringer i fjor, hvorav halvparten ble merket som høy prioritet, ifølge Onapsis.

Men problemer kan bli enda mer vanlige enn de virker: En sikkerhet patch svarer ikke til ett sikkerhetsproblem.

SAP Support Portal inneholdt 388 sikkerhetsnotater i 2014, sa forskere fra ERPScan, et annet selskap som spesialiserer seg på SAP-sikkerhet. Hver notat dekket en patch for en eller flere sikkerhetsproblemer, slik at antall individuelle sikkerhetsproblemer faktisk er høyere, sa de via e-post.

Eirams selskap registrerte 389 SAP sårbarheter i sin egen sikkerhetsdatabase i fjor, men han sa også Dette tallet er sannsynligvis for lavt.

All statistikk, inkludert de fra databasen Common Vulnerabilities and Exposures (CVE), antyder at antallet sikkerhetsproblemer som ble funnet i SAP-produkter økte i 2014 fra tidligere år. Men telle sårbarheter har aldri vært en nøyaktig metode for å måle sikkerheten til et produkt eller en programvareleverandørs utviklingspraksis.

"For å få et bedre bilde av SAP som leverandør og deres produkter, er det mer interessant å se på responstider, som tid-til-patch, og hvilke typer sårbarheter som blir adressert i produktene, sier Eiram.

Basert på en analyse av 56 sårbarheter som tredjeparter rapporterte til SAP, er leverandøren ikke rask til å utvikle og slippe ut løsninger, Eiram sa. Selskapets gjennomsnittlige tid til å produsere en oppdatering for disse problemene var rundt 8 måneder - maksimumet var 765 dager og minimum 37 dager.

Ifølge Eiram viser et raskt blikk på sikkerhetsoppføringene for fjoråret at flertallet av dem er "ganske grunnleggende" som XSS (cross-site scripting), hardkodede legitimasjonsbeskrivelser, katalogoverskridelser og manglende eller feil godkjenningskontroll. Dette er problemer som en riktig sikkerhetsutvikling livssyklus normalt bør stryke ut, sa han.

ERPScan har også identifisert cross-site scripting som den typen feil som dukker opp oftest i SAP-rådgivning.

SAP forsvarte sin sikkerhetspraksis.

"SAP har en omfattende produktsikkerhetsstrategi på tvers av bedriften som hviler på tre søyler:" Forhindre - React-Detect ", sa SAP i en e-postmelding. "En viktig del av denne strategien er" Lifecycle for sikker programvareutvikling ", som gir et omfattende rammeverk for prosesser, retningslinjer, verktøy og personalutdanning. Dermed kan vi sikre at sikkerhetsprogramvaren er en integrert komponent når det gjelder arkitektur, design og implementering av SAP-løsninger. "

Onapsis påstand om at mer enn 95 prosent av SAP-systemene er utsatt for sårbarheter, er falske, og Onapsis forsøker å fremmedgjøre SAP-kunder mens de markedsfører sine egne produkter, sier SAP.

Uansett om 95 prosent-tallet er overdrevet, er de usikre SAP-produktutviklingen bare en del av problemet.

SAP er mer som et rammeverk på toppen av hvilke organisasjoner bygger sine egne tilpassede systemer, sier Alexander Polyakov, CTO for ERPScan, via e-post. Dette betyr at SAP-systemer er forskjellige i alle organisasjoner, og i tillegg til plattformssårbarheter, er det også problemer i de tilpassede programmene som utgjør rundt 50 prosent av SAP-implementeringer, sa han.

Disse tilpassede programmene har ofte de samme typene av sårbarheter som ofte finnes i SAP-produkter: XSS, manglende autorisasjonskontroller og katalogoverskridelse, ifølge Polyakov.

Mange selskaper outsource utviklingen av deres tilpassede SAP-relaterte programmer, og sikkerhet er definitivt ikke et sterkt poeng for outsourcingfirmaer , som typisk fokuserer på å minimere utviklings tid og kostnader, sa ERPScan-forskerne.