Безопасность ERP - ERP security

ERP Безопасность это широкий комплекс мер, направленных на защиту Планирование ресурсов предприятия (ERP) системы от незаконного доступа, обеспечивающие доступность и целостность системных данных. Система ERP - это компьютерное программное обеспечение, которое служит для унификации информации, предназначенной для управления организацией, включая производство, Система управления цепями поставок, Финансовый менеджмент, Управление человеческими ресурсами, Управление взаимоотношениями с клиентами, Управление производительностью предприятия. Общие ERP-системы SAP, Oracle E-Business Suite, Microsoft Dynamics.^[1]

Рассмотрение

ERP система интегрирует бизнес-процессы, обеспечивающие закупки, платежи, транспорт, управление человеческими ресурсами, управление продуктами и финансовое планирование.^[2]Поскольку в системе ERP хранится конфиденциальная информация, Ассоциация аудита и контроля информационных систем (ISACA ) рекомендует регулярно проводить комплексную оценку безопасности системы ERP, проверять серверы ERP на уязвимости программного обеспечения, ошибки конфигурации, конфликты разделения обязанностей, соблюдение соответствующих стандартов и рекомендаций, а также рекомендаций вендоров.^[3]^[4]

Причины уязвимостей в ERP-системах

Сложность

Системы ERP обрабатывают транзакции и реализуют процедуры, гарантирующие, что пользователи имеют разные права доступа. В SAP есть сотни объектов авторизации, позволяющих пользователям выполнять действия в системе. В случае 200 пользователей компании существует около 800 000 (100 * 2 * 20 * 200) способов настройки параметров безопасности ERP-систем.^[5] С ростом сложности возрастает вероятность ошибок и конфликтов разделения обязанностей.^[3]

Специфика

Производители исправляют уязвимости на регулярной основе, поскольку хакеры отслеживают бизнес-приложения, чтобы найти и использовать проблемы безопасности. SAP выпускает исправления ежемесячно на Патч вторник, Oracle выпускает исправления безопасности каждый квартал в Обновление критического исправления Oracle. Бизнес-приложения становятся все более доступными для Интернета или переносятся в облако.^[6]

Отсутствие грамотных специалистов

Обзор кибербезопасности ERP^[7] выявил, что организациям, использующим системы ERP, «не хватает осведомленности и действий в отношении безопасности ERP».^[8]ISACA заявляет, что «не хватает сотрудников, обученных безопасности ERP»^[5] а службы безопасности обладают поверхностным пониманием рисков и угроз, связанных с системами ERP. Следовательно, уязвимости системы безопасности усложняют такие мероприятия, как обнаружение и последующее исправление.^[6]^[9]

Отсутствие инструментов аудита безопасности

Аудит безопасности ERP выполняется вручную, поскольку различные инструменты с пакетами ERP не предоставляют средств для аудита безопасности системы. Ручной аудит - сложный и трудоемкий процесс, повышающий вероятность ошибки.^[3]

Большое количество индивидуальных настроек

Система включает тысячи параметров и тонких настроек, включая разделение обязанностей для транзакций и таблиц, а параметры безопасности устанавливаются для каждой отдельной системы. Настройки системы ERP настраиваются в соответствии с требованиями клиентов.

Проблемы безопасности в ERP-системах

Проблемы безопасности возникают в ERP-системах на разных уровнях.

Сетевой уровень

Перехват и модификация трафика

Отсутствие шифрования данных

В 2011 году специалисты Sensepost проанализировали протокол DIAG, используемый в системе SAP ERP для передачи данных с клиента на сервер SAP. Были опубликованы две утилиты, позволяющие перехватывать, расшифровывать и изменять запросы клиент-сервер, содержащие важную информацию. Это сделало возможными атаки, в том числе Атака посредника. Вторая утилита работает как прокси и была создана для выявления новых уязвимостей. Это позволяло изменять запросы, поступающие на клиент и сервер.^[10]

Отправка пароля в открытом виде (старые версии SAP J2EE Telnet / Oracle listener)

В системе SAP ERP можно выполнять функции администрирования через Telnet протокол, который шифрует пароли.

Уязвимости в протоколах шифрования или аутентификации »

Аутентификация по хешу
Шифрование паролей XOR (SAP DIAG)
Введение использования устаревших протоколов аутентификации
Неправильные протоколы аутентификации

Уязвимости в протоколах (например, RFC в SAP ERP и Oracle Net в Oracle E-Business Suite). Протокол RFC используется (удаленный вызов функций) для соединения двух систем по TCP / IP в SAP ERP. RFC-вызов - это функция, которая позволяет вызывать и запускать функциональный модуль, расположенный в системе. В ABAP язык, который используется для написания бизнес-приложений для SAP, имеет функции для выполнения вызовов RFC. В SAP RFC Library версий 6.x и 7.x было обнаружено несколько критических уязвимостей:^[11]

Функция RFC "RFC_SET_REG_SERVER_PROPERTY" позволяет определить исключительное использование сервера RFC. Эксплойты уязвимостей приводят к отказу в доступе для законных пользователей. отказ в обслуживании становится возможным.
Ошибка в RFC-функции "SYSTEM_CREATE_INSTANCE". Использование уязвимости позволяет выполнять произвольный код.
Ошибка в RFC-функции "RFC_START_GUI". Использование уязвимости также позволяет выполнять произвольный код.
Ошибка в RFC-функции "RFC_START_PROGRAM". Использование уязвимости позволяет выполнить произвольный код или получить информацию о конфигурации RFC-сервера.
Ошибка в RFC-функции "TRUSTED_SYSTEM_SECURITY". Использование уязвимости позволяет получить информацию о существующих пользователях и группах на RFC сервере.

Уровень операционной системы

Уязвимости программного обеспечения ОС

Любая удаленная уязвимость в ОС используется для получения доступа к приложениям.

Слабые пароли ОС

Подбор удаленного пароля
Пустые пароли для инструментов удаленного управления, таких как Radmin и VNC

Небезопасные настройки ОС

NFS и SMB. Данные SAP становятся доступными для удаленных пользователей через NFS и SMB
Права доступа к файлам. Важные файлы данных SAP и СУБД Oracle имеют незащищенные права доступа, такие как 755 и 777.
Небезопасные настройки хостов. В доверенных хостах можно перечислить серверы, и злоумышленник легко получит к ним доступ.

Уязвимости приложений

ERP-системы передают больше функциональности на уровне веб-приложений с множеством уязвимостей:

Уязвимости веб-приложений (XSS, XSRF, SQL-инъекция, Разделение ответа, выполнение кода)
Строка переполнения буфера и форматирования на веб-серверах и серверах приложений (SAP IGS, SAP Netweaver, Oracle BEA Weblogic)
Небезопасные привилегии для доступа (SAP Netweaver, SAP CRM, Oracle E-Business Suite)

Контроль доступа на основе ролей

В системах ERP RBAC (Контроль доступа на основе ролей ) применяется для того, чтобы пользователи могли выполнять транзакции и получать доступ к бизнес-объектам.^[12]В модели решение о предоставлении доступа пользователю принимается на основе функций пользователей или ролей. Роли - это множество транзакций, которые пользователь или группа пользователей выполняет в компании. Транзакция - это процедура преобразования системных данных, которая помогает выполнить эту транзакцию. Для любой роли существует ряд соответствующих пользователей с одной или несколькими ролями. Роли могут быть иерархическими. После реализации ролей в системе транзакции, соответствующие каждой роли, редко меняются. Администратору необходимо добавить или удалить пользователей из ролей. Администратор предоставляет новому пользователю членство в одной или нескольких ролях. Когда сотрудники покидают организацию, администратор удаляет их со всех ролей.^[13]

Распределение обязанностей

Сегрегация или Разделение обязанностей, также известная как SoD, представляет собой концепцию, согласно которой пользователь не может совершать транзакцию без других пользователей (например, пользователь не может добавить нового поставщика, выписать чек или заплатить поставщику)^[14] и риск мошенничества намного ниже.^[15] SoD может быть реализован с помощью механизмов RBAC, и вводится понятие взаимоисключающих ролей. Например, чтобы заплатить поставщику, один пользователь инициирует процедуру оплаты, а другой ее принимает.^[16] В этом случае инициирование платежа и прием - взаимоисключающие роли. Разделение обязанностей может быть статическим или динамическим. Со статическим SoD (SSoD) пользователь не может принадлежать к двум взаимоисключающим ролям. С динамическим SoD (DSoD) пользователь выполняет, но не может выполнять их в рамках одной транзакции. У обоих есть свои преимущества. SSoD прост, а DSoD гибок.^[17] Разделение обязанностей объясняется в матрице SoD. Матрицы X и Y описывают роли системы. Если две роли исключают друг друга, на перехвате соответствующих строк и столбцов ставится флаг.

Сканеры безопасности ERP

Сканер безопасности ERP - это программа, предназначенная для поиска уязвимостей в системах ERP. Сканер анализирует конфигурации системы ERP, ищет неправильные конфигурации, конфликты контроля доступа и шифрования, небезопасные компоненты и проверяет наличие обновлений. Сканер проверяет параметры системы на соответствие рекомендациям производителя и процедурам аудита. ISACA. Сканеры безопасности ERP создают отчеты с указанием уязвимостей в соответствии с их критичностью. Примеры сканеров:

ERP Безопасность

[ERP-1] «ERP (планирование ресурсов предприятия)». Поиск ERP TechTarget. Май 2017 г.. Получено 6 апреля 2018.

[Oracle-2] "Что такое ERP?". Получено 6 апреля 2018.

[isaca.org-3] а ^б ^c Проблемы безопасности в ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx

[Information_Age-4] «Почему безопасность должна быть приоритетом для экосистемы ERP». Информационный век. 31 августа 2017 г.. Получено 6 апреля 2018.

[csbweb01.uncw.edu-5] а ^б Аудит безопасности ERP и разделения обязанностей: основа для создания автоматизированного решения https://csbweb01.uncw.edu/people/ivancevichd/classes/MSA%20516/Extra%20Readings%20on%20Topics/Database/ERP%20Security.pdf

[Forbes-6] а ^б «Безопасность ERP заслуживает нашего внимания сейчас больше, чем когда-либо». Forbes. 7 июля 2017 г.. Получено 6 апреля 2018.

[7] Обзор кибербезопасности ERP, 2017 г. https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/

[CSO-8] «Исследование показывает, что ущерб от мошеннических атак на систему SAP оценивается в 10 миллионов долларов». ОГО из IDG. 27 июня 2017 г.. Получено 6 апреля 2018.

[CloudComputing-9] «Шесть классических проблем безопасности ERP-систем - и как их избежать». CloudTech. 10 мая 2017. Получено 6 апреля 2018.

[10] ERPScan предупреждает о новых уязвимостях протокола DIAG в SAP

[11] Множественные уязвимости библиотеки SAP RFC http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2

[12] Безопасность систем планирования ресурсов предприятия http://www.utdallas.edu/~bxt043000/Publications/Journal-Papers/DAS/J46_Security_for_Enterprise_Resource_Planning_Systems.pdf

[13] Контроль доступа на основе ролей http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf

[14] Глоссарий терминов ISACA http://www.isaca.org/Knowledge-Center/Lists/ISACA%20Glossary%20Terms/DispForm.aspx?ID=1700

[15] Риск-ориентированный подход к разделению обязанностей http://www.ey.com/Publication/vwLUAssets/EY_Segregation_of_duties/$FILE/EY_Segregation_of_dutie/s.pdf

[16] Р. А. Бота и Дж. Х. П. Элофф Разделение обязанностей по обеспечению контроля доступа в средах рабочих процессов

[17] Простой поиск http://www.bth.se/fou/cuppsats.nsf/all/52d12689b4758c84c12572a600386f1d/$file/mcs-2006-16.pdf В архиве 2015-02-26 в Wayback Machine

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]