טיפים מ- Deloitte: 5 פגיעויות אבטחה במערכות SAP

Anonim
Die zunehmende Webaffinität von SAP erzeugt neue Einfallstore für Gefahren.
הזיקה באינטרנט הגוברת של SAP יוצרת שערי כניסה חדשים לאיומים.
צילום: Petya Petrova, Fotolia.de

מערכת SAP היא האוצר הדיגיטלי של חברות רבות. כאן תוכלו למצוא את כל הנתונים והמידע אודות מבנה ותהליכי החברה. התקפות יכולות לגרום לא רק לנזק כספי, אלא גם למוניטין ואמון מצד הלקוחות ובעלי המניות.

סיכון אבטחה טיפוסי בסביבת SAP הוא הגישה למערכת ה- ERP מחוץ לרשת החברה באמצעות חיבורי שיחות פונקציה מרחוק (RFC). ממשק RFC מאפשר שיחות פונקציות בין שתי מערכות SAP או בין מערכת SAP למערכת חיצונית. כאן, Deloitte מצביעה על חמישה תקלות המעדיפות גישה לא רצויה באמצעות חיבורי RFC.

1. חשבונות משתמשים מוגנים כנדרש

ספקי תוכנה מספקים את כל ההתקנות עם מה שנקרא משתמשים רגילים כמו SAP או DDIC. כל מזהי המשתמש והסיסמאות המשויכות זהים בתחילה לכל משלוח, ומידע זה בדרך כלל נגיש דרך פורטלי אינטרנט. הידיעה על חלקי שם המשתמש והסיסמה מקלה מאוד על גישה לא מורשית, אמר דלויט.

2. ממשק RFC מוגדר בצורה לא טובה

בעזרת הידע שהוזכר זה עתה, עובדים יכולים לגשת בחופשיות לנתונים ארגוניים קריטיים ברמת הטבלה באמצעות תוכנה זמינה באופן חופשי באינטרנט אם ממשקי ה- RFC מוגנים לא מספיק. זה תקף גם אם אין להם את הרשאות העסקה הדרושות במערכת SAP.

3. רשת החברה מאובטחת לא מספיק

הסיכון לגישה בלתי מורשית מגביר גם אמצעי אבטחה בלתי הולמים לרשת החברה. כאן Deloitte קורא פערים מסוימים בתצורת חומת האש (יציאות פתוחות) והערכה לקויה של יומני הגישה.