БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ITSM АБС
ЧТО ТАКОЕ ERP? НОВОСТИ АНАЛИТИКА ПРАКТИКА ERP СИСТЕМЫ ПОСТАВЩИКИ  
    


ЛЕНТА НОВОСТЕЙ
RSS-ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
МНЕНИЯ ЭКСПЕРТОВ
НОВОСТИ НА ФОРУМЕ
БЛОГ
   
ЧТО ТАКОЕ ERP?
ERP — это информационная система для идентификации и планирования всех ресурсов предприятия, которые необходимы для осуществления продаж, производства, закупок и учета в процессе выполнения клиентских заказов >>>
 
НОВОСТИ

08/02/2011

Безопасность ERP-приложений находится на уровне 10-летней давности



Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. Александр Поляков, технический директор Digital Security считает, что архитектурные уязвимости перечисленных систем в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.
.“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отмечает Александр Поляков.

Специалисты приводят пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД «Open Edge database» (Progress Software), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

Безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников.

http://www.tadviser.ru


К ленте новостей >>>



<<< Обсудить на форуме  |  Все новости >>>

НА ФОРУМАХ БИЗНЕС СЕТИ KINETICS

Последние темы на форумах:


 
О проекте Конфиденциальность Услуги Размещение рекламы Форум Карта сайта Напишите нам! RUS / ENG
Copyright © 2005 - 2022 ERP-ONLINE.RU All rights reserved