Эксперты ERPScan, дочерней международной компании Digital Security, представили результаты «Глобального исследования безопасности SAP за 12 лет: с 2001 по 2013 гг.». Группа исследователей и аналитиков компании во главе с Александром Поляковым, техническим директором ERPScan, и Алексеем Тюриным, директором департамента аудита защищенности ERPScan, пришли к нескольким любопытным выводам относительно состояния безопасности SAP в 2013 году и сделали ряд прогнозов на будущее.

По оценкам экспертов ERPScan, количество уязвимостей в SAP-платформах, обнаруживаемых за год, постепенно снижается по сравнению с пиком в 2010 г., но они становятся более критичными. Так, 69 % проблем, закрываемых SAP, помечены как критические. При этом список топ-5 проблем 2013 г. более критичен, чем топ-5 2012 г. Почти все они имеют CVSS (индекс в общей системе оценки уязвимостей, Common Vulnerability Scoring System), равный 10 (самый высокий показатель).

Ситуация с безопасностью SAP остается весьма печальной. Во многом, виной тому — действия администраторов систем «на местах», которые не уделяют должного внимания корректным настройкам и установке необходимых обновлений. Несмотря на многократные предупреждения, пользователи SAP-платформ годами не закрывают критичные уязвимости. И это при том, что на сегодняшний день самой популярной версией SAP-систем (35 %) по-прежнему остается NetWeaver 7.0, выпущенная еще в 2005 году и содержащая множество небезопасных настроек по умолчанию.

В ходе исследования эксперты ERPScan также реализовали глобальный проект по сканированию сети Интернет на наличие маршрутизаторов SAProuter, доступных через стандартный TCP-порт, обнаружив около 5000 систем SAProuter. Оказалось, что 85 % из них содержат крайне опасную уязвимость, закрытую более полугода назад компанией SAP. Воспользовавшись данной уязвимостью, можно получить доступ во внутренние сети порядка 4000 мировых компаний.

Также исследователям безопасности из ERPScan удалось выяснить, что примерно треть веб-служб SAP, доступных из Интернета, не использует для защиты протокол SSL, чем значительно облегчает доступ посторонних к своим ресурсам.

Одно из наиболее важных открытий этого года — то, как системы хранят историю событий и насколько велики шансы расследовать возможные инциденты безопасности. Выяснилось, что только в 10 % систем, которые были просканированы в рамках тестов на проникновение, имелись включенные журналы аудита безопасности. Соответственно, при возникновении инцидента в системе проведение расследования значительно затруднено.

Положительной тенденцией является заметное увеличение числа компаний, осуществляющих поиск проблем в SAP-платформах, что свидетельствует о росте интереса к данному направлению. Благодаря этому, а также за счет усилий экспертов SAP AG, каждый новый продукт корпорации по умолчанию становится гораздо более безопасным по сравнению с предыдущими, что мы также отмечаем в рамках внутренних работ с компанией SAP AG. С каждым годом SAP вкладывает все больше ресурсов во внутренние SDLC-процессы и конференции по ИБ.

На основании полученных данных, а также благодаря многолетнему сотрудничеству с SAP AG в сфере поиска и закрытия уязвимостей эксперты Digital Security сделали прогноз на ближайший год относительно безопасности SAP-платформ.

Учитывая растущее количество уязвимостей и доступность через Интернет административных служб систем SAP, они могут стать мишенью не только для прямых направленных атак (так называемых APT), но и для массовой эксплуатации посредством «червей», в том числе, использующих множество уязвимостей одновременно. Подтверждением данного прогноза стало появление банковского трояна, поздние версии которого имели функции поиска и проверки наличия SAP GUI на рабочей станции. Как выяснилось позднее, данная троянская программа выполняла перехват логинов и паролей для подключения к SAP и создание скриншотов в момент работы с SAP. Этот факт, без сомнения, является одним из первых признаков возрастающего интереса к бизнес-приложениям.

Внутреннее мошенничество и бэкдоры, написанные на языке ABAP, сейчас также становятся все более популярными. Не исключено, что новые типы целевого кибероружия, направленные на ERP-системы, могут появиться в ближайшее время.

В сфере безопасности SAP остается еще немало неисследованных областей. На данный момент ERPScan тесно сотрудничает с SAP Product Security Response Team в области поиска новых уязвимостей и методов атак, а также защиты от них, проводя обучающие семинары.

К сожалению, как и год назад, ответственность за обеспечение безопасности до сих пор лежит, в основном, на администраторах, которым следует усиливать безопасность своих SAP-систем. Именно поэтому столь важным является регулярное обучение, управление обновлениями, грамотные настройки, проверки кода и регулярный мониторинг. SAP Forensics (расследование инцидентов) может стать новой исследовательской областью, так как сейчас обнаружить свидетельства инцидента в системе логов SAP нелегко, даже если таковые присутствуют. И чем больше атак будет совершаться на SAP, тем больше необходимости возникнет в расследовании инцидентов безопасности и мониторинге SAP-платформ.