与任何软件应用程序或系统一样, SAP系统存在攻击者可能利用的漏洞, 无论他们是内部还是外部的对手. SAP信息对黑客来说非常宝贵,因为它存储了大量敏感的财务数据, 客户信息和知识产权, 这使得它成为攻击者的一个有吸引力的目标. 此外,SAP系统对全球100家最大澳门赌场官方下载中的99家至关重要1-成功的网络攻击将造成重大破坏、声誉受损和经济损失.
减低网络攻击的风险, 组织必须使用SAP每月安全补丁日期间确定的最新安全补丁和更新来保持其SAP系统的最新状态.2 除了, 定期进行漏洞评估,以识别和补救安全漏洞,大大减少攻击媒介.3 然而, 了解内部和外部SAP攻击者在访问SAP系统的级别和接近程度上的不同是很重要的. 了解他们的攻击概况可以帮助澳门赌场官方下载避免遭受不幸和尴尬的网络事件.
SAP内部环境的风险
内部SAP攻击者是已经以员工身份访问SAP系统的个人或实体, 承包商或合作伙伴. 他们有进入系统的合法权限, 但滥用他们的特权进行恶意活动,如窃取敏感数据, 破坏系统或安装后门以备将来利用.
在应用程序安全域中可能发生内部攻击, 哪些属于内部网络安全风险. 此类攻击可能涉及数据盗窃或恶意操纵业务信息, 除此之外.
分析应用程序日志通常是检测内部行为异常的最有效方法, 但是这对于SAP应用程序来说很难做到,因为存在大量的日志. 监控最关键的SAP S/4HANA日志对于检测欺诈和恶意操作至关重要. 响应速度取决于是否有自动通知,以及是否手动或定期执行监视和评估. 分配给相应日志项的风险级别是高度个性化的,并取决于每个组织特有的各种因素.
分配给相应日志项的风险级别是高度个性化的,并取决于每个组织特有的各种因素.
来自SAP外部环境的风险
外部SAP攻击者是没有合法访问SAP系统的个人或实体,必须破坏其防御才能进行攻击. 他们可以使用各种方法, 比如利用系统中的漏洞, 社会工程, 或网络钓鱼, 来访问系统. 一旦他们获得访问权限, 他们可能会进行各种攻击,比如窃取数据, 安装恶意软件或发起拒绝服务(DoS)攻击.
超文本传输协议(HTTP)走私漏洞, 互联网通讯管理高级设计(ICMAD), 是外部SAP漏洞的一个例子吗. 此漏洞标识为CVE-2022-22536,4 cve - 2022 - 22532,5 和cve - 2022 - 225336 用于SAP Web Dispatcher. SAP Web Dispatcher通常是SAP应用程序和不安全网络之间的代理. 在此漏洞的情况下, 哪一个可以从外面进入, 它被归类为外部风险, 由特殊攻击者传播.7
因为有许多漏洞需要考虑,所以评级分类有助于调整优先级. 但即使是评级分数也会波动, 因此,何时采取行动的最终决定必须由网络安全专业人员做出. 恰当的例子:可以使用标准化的通用漏洞评分系统(CVSS)对SAP漏洞示例ICMAD进行评级, 哪个分数是10分.0(非常高),评分范围为1.0(低)到10.0(非常高). 攻击者有时还利用链中具有较低CVSS分数的多个漏洞来达到目标. 因此,在修补SAP安全问题时,不仅要寻找最高的CVSS分数,这一点至关重要.
然而,CVSS评级系统不是特定脆弱性评级的唯一来源. 安全管理员也应该考虑实际的漏洞利用.g.(通过将CVSS得分与Mandiant等威胁情报公司的评级进行比较)。. Mandiant根据真实的攻击信息评估漏洞. 在没有已知剥削的情况下, Mandiant的专家将SAP的CVSS评分从非常高降至高. 是否应该提高或降低单个漏洞评级也取决于SAP系统的外部暴露, 包括SAP环境中的关键访问路径.
谁更危险?
外部和内部SAP网络攻击的破坏性是一样的, 而且很难确定哪种攻击更严重. 攻击的严重程度取决于攻击类型等各种因素, 获得的访问级别, 数据的敏感性受到损害, 以及反应的速度和有效性.
与外部攻击者相比,内部SAP攻击者可能具有优势, 因为内部攻击者对系统及其漏洞有更深入的了解. 因此,内部攻击可能构成更大的威胁. 例如, 如果员工将SAP HANA的机密出售给竞争对手或破坏其网站或电子商务平台,则可能对澳门赌场官方下载的利润和声誉造成毁灭性打击.
外部SAP网络攻击可能更具挑战性, 因为攻击者必须首先攻破系统的防御. 一旦他们进入, 它们会造成严重的损害, 因为他们可以匿名操作并利用漏洞. 此外,外部黑客通常会寻找可以出售或用于牟利的信息. 除了, 外部攻击可能很难检测,因为攻击者不是组织的一部分,可能不会留下任何可追踪的数字足迹.
结论
SAP系统容易受到外部和内部网络攻击, 这两种类型的攻击者在实现其邪恶目标方面都有独特的优势. SAP内部的攻击者可能更了解澳门赌场官方下载的安全流程, 系统及其漏洞, 让他们更容易实施袭击, 但一旦外部攻击者获得系统访问权限, 他们可以在匿名的位置上操作,并在很长一段时间内继续利用漏洞.
组织必须根据这些知识采取主动的网络安全方法并实施适当的安全控制, 定期监控系统并培训员工识别和预防SAP系统面临的所有网络威胁.
尾注
1 SAP、 SAP澳门赌场官方下载概况, 2023年5月16日
2 SAP、 SAP安全说明
3 安全的桥梁, 自动化和简化SAP应用程序和自定义代码的漏洞管理
4 国家标准与技术研究所,”cve - 2022 - 22536的细节美国,2022年
5 国家标准与技术研究所,”cve - 2022 - 22532的细节美国,2022年
6 国家标准与技术研究所,”cve - 2022 - 22533的细节美国,2022年
7 芒,我.; “谁是典型的SAP攻击者?,《澳门赌场官方软件》,2022年9月1日
伊凡芒
从1997年开始在SAP领域工作的经验丰富的SAP技术顾问. 2012年,他与人共同创立了 SecurityBridge. 他目前的职位是首席技术官(CTO)。, 他是一个积极的司机,激励着人们,推动着技术的发展, 为安全桥平台的不断创新做出贡献. 近年来, Mans经常在SAP活动上发表演讲,宣传SAP的安全性.