企业运行的SAP系统都安全吗？

编者按：本文来自微信公众号“小哈公社”（ID：InweTech），小哈汇整，36氪经授权发布。

安全，是一个魔高一尺、道高一丈的行业。

安全，是一个拼投入、拼能力的行业。

因为攻击往往只在一个点，而防御却要在一个面。

各类服务器的安全、防范、事故、损失的新闻，我们经常会看到，很多时候都是重大事故，影响范围非常广。

但SAP的安全问题的新闻，仿佛我们从来没有看到过。

是SAP或运行SAP的服务器牛X吗？还是SAP的公关PR做的太“赞”了？亦或是所有事故都是服务器的事，和SAP无关？

SAP 是世界上最受欢迎的企业应用软件企业和解决方案提供商，为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。

这简直就是全球最强企业的基础操作系统。

在这些系统中，几乎运行着近30W家优质企业的一切，财务、供应链、生产、销售、人力资源等等。

如果这些系统的安全出问题，那后果不堪设想，损失也将会是一个天文数字。

1.

Onapsis是第一家致力于研究SAP系统安全问题的安全厂商。

通过采用预防和纠正方法保护SAP系统和应用程序的工具，来改变企业保护那些处理关键数据及程序应用的方式。

“SAP、Oracle系统的安全，是安全行业一直忽视的一个领域，”Crawford曾表达过这样的观点。

Onapsis 首席执行官 Mariano Nunez 说：

“最令人惊讶的是，因为 SAP 操作团队和 IT 安全团队之间的责任差距，大多数公司的 SAP 网络安全都面临着威胁。事实上，应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。”

该公司曾做过一次研究，并形成研究报告。

其中，称超过95%的企业 SAP 存在严重的安全问题，这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。

该研究还报告说，在2014年 SAP 发布了391个安全补丁，而它们中的50%以上都被评定为高风险漏洞。

2.

攻击方式和影响范围，主要是针对 SAP 应用程序的网络攻击，分为以下几类：

核心网络：执行远程功能的模块。

数据仓库：为了获取或修改 SAP 数据库中的信息，利用 SAP RFC网关中的漏洞执行管理员权限指令。

门户网站攻击：利用漏洞创建J2EE后门账户，以访问 SAP 门户和其他内部系统。

报告中提供了针对SAP系统最常见的三种网络攻击的细节信息，这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。

经过专家研究确认，网络攻击将会严重影响以下关键业务进程：

• 在 SAP 系统之间使用 Pivoting，造成客户信息和信用卡信息泄漏。

• 客户和供应商门户攻击。

• 通过SAP私有协议对数据仓库发起攻击。

根据 Nunez 所说，SAP HANA 应该对安全补丁的增量负责：

“这一趋势不仅仅是持续的，而是随着 SAP HANA 更加恶化，因为 SAP HANA 导致新的安全补丁增加了450%。

因为 SAP HANA 位于 SAP 生态系统的中心，所以存储在 SAP 平台的数据现在必须同时在云端和前端进行保护。”

3.

美国国土安全部 (DHS) 发布安全警报称，国家黑客、犯罪分子和黑客分子针对企业资源规划 (ERP) 系统的攻击活动在增多。

该警告是在威胁情报公司 Digital Shadows 和 Onapsis 联合发布报告后发出的。

该报告详述了国家黑客、犯罪组织和黑客分子攻击 ERP 系统方面的兴趣是如何增强的。

ERP近年有逐渐上云的趋势，可允许企业管理多种业务，如客户管理、融资、人力资源、市场营销运营、销售、供应链等等。由于该数据的深度和宽度，ERP 成为攻击者最具吸引力的目标之一。

报告警告称，黑客针对两大云 ERP 软件提供商（SAP 和甲骨文）的一般漏洞和 0day 漏洞的兴趣不断增强。

报告指出，“我们观测到一个大型俄罗斯犯罪论坛上，在交流详细的 SAP 黑客信息，暗网上对收购 SAP HANA 攻击代码的讨论也在增多。过去三年来，对SAP和甲骨文 ERP 应用的公开攻击代码的数量增加了100%；而2016年，针对 ERP 漏洞的活动和兴趣增长了160%。”

4.

安全专家指出，他们追踪或记录的多数攻击，并未使用0day 漏洞，而是已知漏洞。攻击者通常寻找的是自托管的，未及时更新补丁的 ERP 应用，或者未被设置强安全策略的云 ERP 应用。

研究人员表示，攻击者通常利用其它公司被泄露的用户名和密码信息黑入员工 ERP 账户。这种类型的攻击很常见，研究人员找到了超过1.7万款联网 ERP 应用，而通过暴力攻击或字典攻击，就能入侵不安全的账户。

但是，如果攻击者不愿识别某家公司员工并实施暴力攻击，那么也可采用更简单的解决方案。例如，Digital Shadows 和 Onapsis 公司的研究员表示，他们识别出500多个不安全的文件存储库中，被暴露在网上的 ERP 配置文件。攻击者可对这些配置文件进行数据挖掘，以用户在未来发动攻击。

另外，研究人员表示，报告指出，曾被国土安全局在2016年5月重点提及的一个已存在7年之久的 SAP 漏洞还在遭利用，表明威胁人员正在利用这类老旧缺陷。

5.

报告还指出，威胁人员并未放过这些老旧缺陷。

研究人员表示，已经发现国家黑客发动网络攻击的痕迹，他们攻陷 ERP 应用以访问高度敏感的信息或破坏关键的业务流程。

火眼公司和 ProtectWise 公司曾发布报告，证实称国家监控组织对云应用如 ERP 系统的攻击兴趣。另外，日常网络犯罪组织也开始攻击 ERP。

报告指出，臭名昭著的 Dridex 银行木马在2017年更新后查找并窃取 ERP 系统和 SAP 软件的各种凭证信息。

黑客分子组织虽然已不如十年前那么活跃，但他们依然存在。

而ERP系统的防护普遍还是一个比较弱的状态，这依然有相当大的风险隐患。

毕竟这玩意的如果遇到破坏，甚至可以中断整家企业的业务运营。

此外，及时有效的备份策略也非常重要，一旦发生风险，快速的恢复能力也考验着每一家企业的IT运营能力。

6.

安全和稳定，一直是SAP在市场上主打的两张王牌

并且SAP官网有专门的栏目，叫做「信任中心」，用以介绍SAP在安全领域所做的一切，以让客户放心。

但理论上讲，只要接入互联网，则没有绝对的安全。

对于安全，需要进行长期的投入，并对所有预见的问题实时响应，并定时进行测试。才能保证相对的安全。

看过来

36氪「E-Club创变者俱乐部」首批CEO招募，依托36氪媒体洞察力、影响力和产业资源优势，连接价值创投圈资源与人脉，为创业加速赋能。洞察核心需求精心打磨五大权益，助创业路上的你一臂之力！