Zabezpečení ERP - ERP security

Zabezpečení ERP je široká škála opatření zaměřených na ochranu Plánování podnikových zdrojů (ERP) systémy z nedovoleného přístupu zajišťující přístupnost a integritu systémových dat. Systém ERP je počítačový software, který slouží ke sjednocení informací určených ke správě organizace, včetně výroby, Řízení dodavatelského řetězce, Finanční řízení, Řízení lidských zdrojů, Management vztahu se zákazníky, Enterprise Performance Management. Běžné systémy ERP jsou MÍZA, Sada Oracle E-Business Suite, Microsoft Dynamics.[1]

Posouzení

ERP systém integruje obchodní procesy umožňující nákupy, platby, dopravu, správu lidských zdrojů, správu produktů a finanční plánování.[2]Protože systém ERP ukládá důvěrné informace, sdružení pro audit a kontrolu informačních systémů (ISACA ) doporučuje pravidelně provádět komplexní hodnocení zabezpečení systému ERP, kontrolovat zranitelnost softwarových serverů na ERP serverech, chyby konfigurace, konflikty oddělení povinností, dodržování příslušných standardů a doporučení a doporučení prodejců.[3][4]

Příčiny zranitelnosti v systémech ERP

Složitost

Systémy ERP zpracovávají transakce a implementují postupy zajišťující, že uživatelé mají různá přístupová oprávnění. V systému SAP existují stovky autorizačních objektů, které uživatelům umožňují provádět akce v systému. V případě 200 uživatelů společnosti existuje přibližně 800 000 (100 * 2 * 20 * 200) způsobů přizpůsobení nastavení zabezpečení ERP systémů.[5] S růstem složitosti se zvyšuje možnost chyb a oddělení konfliktů povinností.[3]

Specifičnost

Prodejci pravidelně opravují chyby zabezpečení, protože hackeři sledují obchodní aplikace, aby našli a využili bezpečnostní problémy. Společnost SAP vydává opravy každý měsíc Patch Tuesday „Společnost Oracle vydává opravy zabezpečení každé čtvrtletí Aktualizace kritické opravy Oracle. Obchodní aplikace jsou stále více vystaveny internetu nebo migrují do cloudu.[6]

Nedostatek kompetentních specialistů

Průzkum kybernetické bezpečnosti ERP[7] odhalila, že organizace provozující systémy ERP „postrádají povědomí i opatření přijatá k zabezpečení ERP“.[8]ISACA uvádí, že „existuje nedostatek zaměstnanců vyškolených v oblasti zabezpečení ERP“[5] a bezpečnostní služby povrchně chápou rizika a hrozby spojené s ERP systémy. Následkem toho chyby zabezpečení komplikují podniky, jako je detekce a následné opravy.[6][9]

Nedostatek nástrojů pro bezpečnostní audit

Audit zabezpečení ERP se provádí ručně, protože různé nástroje s balíčky ERP neposkytují prostředky pro audit zabezpečení systému. Ruční audit je složitý a časově náročný proces, který zvyšuje možnost udělat chybu.[3]

Velký počet přizpůsobených nastavení

Systém obsahuje tisíce parametrů a jemné nastavení, včetně oddělení povinností pro transakce a tabulky, a parametry zabezpečení jsou nastaveny pro každý jednotlivý systém. Nastavení systému ERP je přizpůsobeno podle požadavků zákazníků.

Bezpečnostní problémy v ERP systémech

K problémům se zabezpečením dochází v systémech ERP na různých úrovních.

Síťová vrstva

Odposlech a modifikace dopravy

  • Absence šifrování dat

V roce 2011 odborníci Sensepost analyzovali protokol DIAG používaný v systému SAP ERP pro přenos dat z klienta na server SAP. Byly publikovány dva nástroje, které umožňovaly zachytit, dešifrovat a upravit požadavky klient-server obsahující důležité informace. To umožnilo útoky včetně Man-in-the-middle útok. Druhý nástroj funguje jako proxy a byl vytvořen za účelem identifikace nových chyb zabezpečení. Umožnilo to upravit požadavky přicházející na klienta a server.[10]

  • Odesílání hesla v čistém textu (staré verze posluchače SAP J2EE Telnet / Oracle)

V systému SAP ERP je možné provádět administrační funkce prostřednictvím Telnet protokol, který šifruje hesla.

Chyby zabezpečení v šifrovacích nebo autentizačních protokolech

  • Ověření pomocí hash
  • Šifrování hesla XOR (SAP DIAG)
  • Ukládání používání zastaralých ověřovacích protokolů
  • Nesprávné ověřovací protokoly

Zranitelnosti protokolů (např. RFC v SAP ERP a Oracle Net v Oracle E-Business Suite). Protokol RFC (Remote Function Call) se používá k propojení dvou systémů pomocí protokolu TCP / IP v SAP ERP. Volání RFC je funkce, která umožňuje volání a spuštění funkčního modulu umístěného v systému. The ABAP jazyk, který se používá pro psaní obchodních aplikací pro SAP, má funkce pro volání RFC. V knihovně SAP RFC verze 6.xa 7.x bylo nalezeno několik kritických chyb zabezpečení:[11]

  • Funkce RFC „RFC_SET_REG_SERVER_PROPERTY“ umožňuje určit výhradní použití serveru RFC. Využití zranitelnosti vede k odepření přístupu legitimním uživatelům. odmítnutí služby stane se možným.
  • Chyba ve funkci RFC „SYSTEM_CREATE_INSTANCE“. Využití zranitelnosti umožňuje provádění libovolného kódu.
  • Chyba ve funkci RFC „RFC_START_GUI“. Využití zranitelnosti také umožňuje provádění libovolného kódu.
  • Chyba ve funkci RFC „RFC_START_PROGRAM“. Využití zranitelnosti umožňuje spuštění libovolného kódu nebo získání informací o konfiguraci serveru RFC.
  • Chyba ve funkci RFC „TRUSTED_SYSTEM_SECURITY“. Využití zranitelnosti umožňuje získat informace o existujících uživatelích a skupinách na serveru RFC.

Úroveň operačního systému

Zranitelnost softwaru OS

  • Jakákoli vzdálená chyba v OS se používá k získání přístupu k aplikacím

Slabá hesla OS

  • Vzdálené vynucení hesla
  • Prázdná hesla pro nástroje vzdálené správy jako Radmin a VNC

Nejisté nastavení OS

  • NFS a SMB. Data SAP budou přístupná vzdáleným uživatelům prostřednictvím NFS a SMB
  • Přístupová práva k souborům. Kritické datové soubory SAP a DBMS Oracle mají nezabezpečená přístupová práva, například 755 a 777
  • Nastavení nezabezpečených hostitelů. V důvěryhodných hostitelích mohou být uvedeny servery a útočník k nim snadno přistupuje

Zranitelnosti aplikace

Systémy ERP přenášejí více funkcí na úrovni webových aplikací se spoustou chyb zabezpečení:

  • Zranitelnost webových aplikací (XSS, XSRF, SQL Injection, Rozdělení odpovědí, Provedení kódu)
  • Přetečení vyrovnávací paměti a formátovací řetězec ve webových serverech a aplikačních serverech (SAP IGS, SAP Netweaver, Oracle BEA Weblogic)
  • Nejistá oprávnění pro přístup (SAP Netweaver, SAP CRM, Oracle E-Business Suite)

Řízení přístupu na základě rolí

V systémech ERP je RBAC (Role-Based Access Control ) model se používá pro uživatele k provádění transakcí a získání přístupu k obchodním objektům.[12]V modelu se rozhodnutí o udělení přístupu uživateli provádí na základě funkcí uživatelů nebo rolí. Role jsou velké množství transakcí, které ve společnosti provádí uživatel nebo skupina uživatelů. Transakce je postup transformace systémových dat, který pomáhá při provádění této transakce. Pro každou roli existuje řada odpovídajících uživatelů s jednou nebo více rolemi. Role mohou být hierarchické. Po implementaci rolí v systému se transakce odpovídající každé roli zřídka změní. Správce musí přidat nebo odstranit uživatele z rolí. Správce poskytuje novému uživateli členství v jedné nebo více rolích. Když zaměstnanci opustí organizaci, správce je odebere ze všech rolí.[13]

Oddělení povinností

Segregace nebo Oddělení povinností, známý také jako SoD, je koncept, podle něhož uživatel nemůže provést transakci bez dalších uživatelů (např. uživatel nemůže přidat nového dodavatele, vystavit šek nebo zaplatit dodavateli)[14] a riziko podvodu je mnohem nižší.[15] SoD lze implementovat pomocí mechanismů RBAC a zavádí se pojem vzájemně se vylučujících rolí. Například pro platbu dodavateli zahájí jeden uživatel platební postup a druhý jej přijme.[16] V tomto případě jsou zahájení platby a přijetí vzájemně se vylučujícími rolemi. Oddělení povinností může být statické nebo dynamické. Se statickým SoD (SSoD) nemůže uživatel patřit do dvou vzájemně se vylučujících rolí. S dynamickým SoD (DSoD) je uživatel dělá, ale nemůže je provádět v rámci jedné transakce. Oba mají své vlastní výhody. SSoD je jednoduchý, zatímco DSoD je flexibilní.[17] Segregace povinností je vysvětlena v matici SoD. Matice X a Y popisují role systému. Pokud se tyto dvě role vzájemně vylučují, je na zachycení příslušných řádků a sloupců příznak.

Bezpečnostní skenery ERP

ERP Security scanner je software určený k vyhledávání zranitelných míst v ERP systémech. Skener analyzuje konfigurace ERP systému, hledá nesprávné konfigurace, konflikty řízení přístupu a šifrování, nezabezpečené komponenty a kontroluje aktualizace. Skener kontroluje, zda jsou parametry systému v souladu s doporučeními výrobce a postupy auditu ISACA. Skenery zabezpečení ERP vytvářejí zprávy se zranitelnostmi uvedenými podle jejich kritičnosti. Příklady skenerů:

Reference

  1. ^ "ERP (plánování podnikových zdrojů)". VyhledatERP TechTarget. Květen 2017. Citováno 6. dubna 2018.
  2. ^ „Co je to ERP?“. Citováno 6. dubna 2018.
  3. ^ A b C Bezpečnostní problémy v ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx
  4. ^ „Proč by bezpečnost měla být prioritou pro ekosystém ERP“. Informační věk. 31. srpna 2017. Citováno 6. dubna 2018.
  5. ^ A b Audit zabezpečení a oddělení povinností ERP: Rámec pro budování automatizovaného řešení https://csbweb01.uncw.edu/people/ivancevichd/classes/MSA%20516/Extra%20Readings%20on%20Topics/Database/ERP%20Security.pdf
  6. ^ A b „Zabezpečení ERP si nyní zaslouží naši pozornost více než kdy dříve“. Forbes. 7. července 2017. Citováno 6. dubna 2018.
  7. ^ Průzkum ERP Cybersecurity 2017 https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/
  8. ^ „Průzkum odhaluje, že poškození podvodnými útoky na systém SAP se odhaduje na 10 mil. USD“. CSO od IDG. 27. června 2017. Citováno 6. dubna 2018.
  9. ^ „Šest klasických problémů se zabezpečením systému ERP - a jak jim předcházet“. CloudTech. 10. května 2017. Citováno 6. dubna 2018.
  10. ^ ERPScan varuje před novými zranitelnostmi protokolu DIAG v systému SAP
  11. ^ Několik zranitelností knihovny SAP RFC http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2
  12. ^ Zabezpečení pro systémy plánování podnikových zdrojů http://www.utdallas.edu/~bxt043000/Publications/Journal-Papers/DAS/J46_Security_for_Enterprise_Resource_Planning_Systems.pdf
  13. ^ Role-Based Access Controls http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf
  14. ^ Slovník pojmů ISACA http://www.isaca.org/Knowledge-Center/Lists/ISACA%20Glossary%20Terms/DispForm.aspx?ID=1700
  15. ^ Přístup k oddělení úkolů založený na riziku http://www.ey.com/Publication/vwLUAssets/EY_Segregation_of_duties/$FILE/EY_Segregation_of_dutie/s.pdf
  16. ^ R. A. Botha a J. H. P. Eloff Oddělení povinností při prosazování kontroly přístupu v prostředích pracovního toku
  17. ^ Jednoduché vyhledávání http://www.bth.se/fou/cuppsats.nsf/all/52d12689b4758c84c12572a600386f1d/$file/mcs-2006-16.pdf Archivováno 26. 02. 2015 na Wayback Machine

Zabezpečení ERP