מחקר: 25% מהארגונים המשתמשים ב-SAP חשופים לפריצות

הארגון שלכם משתמש ב-SAP? כנראה שאתם חשופים לתקיפות מבחוץ. ממחקר חדש עולה, כי ארגונים רבים המשתמשים ב-SAP באורח קבע אינם מקפידים על התקנת עדכונים מתאימה, וכך יוצא שכ-25% מהארגונים נמצאים חשופים לפריצות דרך האינטרנט

תמונה: sap, יח”צ

חברת אבטחת המידע הרוסית: ERPScan, המתמחה בבדיקות אבטחת מידע במערכות SAP חושפת מחקר שערכה בשנים האחרונות. מהמחקר עולה, כי ארגונים רבים המשתמשים ב-SAP באורח קבע אינם מקפידים על התקנת עדכונים מתאימה, וכך יוצא שכ-25% מהארגונים נמצאים חשופים לפריצות דרך האינטרנט.

אפשר לתקוף אתכם מבחוץ

בארגונים רבים, משתמשי SAP כלל אינם מודעים לעובדה שהמערכת הפנים-ארגונית, שאמורה לרוץ ולפעול רק בתוך הארגון, עשויה במקרים מסוימים להשאיר אוזן קרויה לאינטרנט שמעבר לחומות ההגנה של הארגון, ובהעדר שומר בפתח, תוקפים יכולים לנצל פרצה זו.

המחקר נערך על-פני השנים 2007 עד 2011 על-ידי חברת ERPScan, וניסה דרך חיפושים באינטרנט, כולל שימוש במנוע החיפוש של גוגל, להפריך את הטענה ש-SAP אינה חשופה לתקיפות מבחוץ, אלא גם מתוך רשתות המידע הפנימיות של הארגון. בין הממצאים שגילו החוקרים, נמצאת גם התגלית, כי גם ברמה הבסיסית ביותר של ניהול הרשאות ומניעת זליגת הרשאות ADMINISTRATOR למשתמשים שאינם מורשים לכך, בארגונים רבים אין הקפדה על הנושא. בנוסף, בחלק מהמקרים, ארגונים פשוט הסבירו שחסר להם את הידע הנדרש לבצע זאת, והם מעדיפים שיהיה להם קל להתחבר למערכת המשרדית מרחוק, מאשר לסבך את הפעולות הנדרשות לניהול היומיומי של העסק.

מתי בפעם האחרונה בדקתם את הגדרות האבטחה?

בין 1,000 החברות שנסקרו על-ידי ERPScan, בכ-9% מהן נמצאה ה-SAP Management console חשופה לתקיפות מבחוץ, וזוהי כמובן רק ההתחלה. מעבר לתקופה בה נערך המחקר, נכון לסוף אפריל 2012, היו כ-2000 Security Notes פתוחים עבור SAP (בעיות אבטחה שיש לתקן). כ-69% מהן הוגדרו כקריטיות, מה שאומר שעל הארגון לשאוף לפתור אותן במהירות האפשרית.

מאפיין מעניין נוסף שגילו החוקרים, הוא שהתשתית הפופולארית ביותר ל-SAP היא Windows NT (עם כ-28%), מערכת ההפעלה המיושנת של מיקרוסופט, שאינה נתמכת עוד על-ידי החברה. המחקר המלא של החברה מפורסם באינטרנט וזמין להורדה מהאתר הרשמי של החברה.

למי שלא מכיר, חברת SAP היא אחת מחברות התוכנה המובילות בעולם בתחום התוכנה לארגונים. החברה פיתחה מערכת מודולרית, המאפשרת לארגונים לקבל לידיהם מערכת המורכבת מרכיבים בהתאם לצרכים הספציפיים של הארגון. המערכת מסוגלת, בהתאם להגדרות הלקוח, להתאים למשימות כגון ניהול שכר, ניהול מלאי, ניהול חשבונות, ועוד. בארגונים רבים היא מתפשטת בזריזות, ממחלקה אחת שבוחרת לנסות אותה אל יתר המחלקות בארגון, ובארגונים רבים מסתמכים עליה על הניהול השוטף של העסק, כמעט בכל היבטיו. מכאן, כמובן, חשיבות ההקפדה על אבטחת המידע והגדרות אבטחה נכונות, גם במערכת ענקית כמו SAP שרצה בארגון.

וידאו: פרסומת ל-SAP

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

5 תגובות על "מחקר: 25% מהארגונים המשתמשים ב-SAP חשופים לפריצות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מומחה אבטחה
Guest
כותרת נוראית!!! וכתבה כלכך גרועה כבר הרבה זמן לא קראתי! אם היתי חברת סאפ הייתי טובע אותכם עכשיו (ואגב אני לא נציג של סאפ אבל אני כן מומחה אבטחה שמכיר הרבה חברות שמשתמשות בסאפ). מהכותרת שלך “פירצת אבטחה קריטית בסאפ: 25% מהארגונים חשופים” ניתן להבין שהתגלתה פירצה חדשה שחושפת רבע מהאירגונים שביניהם אגב נמנים גם צה”ל ,ממשלת ישראל, בנקים, בתי המשפט, חברות תעופה וכו’. כך שהכותרת האומללה וחסרת האחראיות שלך יכולה ליצור פאניקה מיותרת. אם תקרא טוב את המאמר שעליו אתה מנסה להתבסס “Companies expose critical SAP services to the Internet” תבין שהבעיה היא בחברות שלא מתקינות נכון את הרשת… Read more »
איתי חורב
Guest
למומחה אבטחה. אני מתכנת במערכות SAP כבר כמה שנים טובות, ובהחלט ייתכן שאתה מומחה לאבטחה, אבל נראה שאתה לא יודע איך מתנהלות התקנות SAP, לפחות בארץ. הבעיה היא בחשיפת תהליכים עסקיים לאינטרנט. SAP מעודדת חשפה של תהליכים כאלה ומספקת כלים שנועדו למטרה זו בדיוק – הפורטל של SAP, כלים כמו Webdynpro לסוגיו, BSP, וכלים נוחים להפיכת תהליכים ל-Web Services וחשיפתם לאינטרנט בקלות. בארץ לא נהוג להעסיק מומחי אבטחה בפרוייקטי SAP, כך שפרצות רבות נוצרות פשוט בגלל חוסר הידע של העוסקים בתחום (אני מודה, גם שלי. אני לא מומחה אבטחה, ובכל שנותי בתחום מעולם לא דיברתי עם אחד, לפחות לא במסגרת… Read more »
Rachel Saadia
Guest

זה בסדר, יש מקומות שלא יודעים להשתמש אפילו באנטי – ווירוס..

ניר רון
Guest
איתי, גם אתה מגזים לכיוון השני. 1. חשיפת תהליכים בין אם ב BSP ובין אם ב webdynpro מתבצע (בכל חברה שמכבדת את עצמה) מאחורי חומות אבטחה מכובדות כדוגמאת citrix או juniper. אני מכיר שני ארגונים ענקיים שלא בחרו לעשות כך ולשם פתרון בעיית האבטחה התקינו את האפליקציה שכתבו על שרת SAP ייעודי שהם התקינו לשם כך שמתקשר דרך firewall מאובטח עם שרת ה SAP האמיתי בתוך החברה. אשמח לשמוע על דוגמא אחת של לקוח שחשף production החוצה. 2. היום בכל ארגון שמכבד את עצמו (ו SAP מותקן בארגונים בסדרי גודל שאתה מכיר) יש מומחה אבטחת מידע. צוות ה SAP לא… Read more »
wpDiscuz

תגיות לכתבה: