Новейшее исследование подтверждает, что киберпреступники взламывают ERP-приложения и покушаются на особо ценные активы предприятий, пишет Уорвик Эшфорд на портале ComputerWeekly.

Исследование, проведенное специализирующейся на управлении цифровыми рисками фирмой Digital Shadows и компанией Onapsis, которая занимается кибербезопасностью и соблюдением требований регуляторов, показывает, что атаки направлены на приложения, важнейшие для бизнеса крупнейших мировых организаций.

В исследовании показан резкий всплеск кибератак на широко используемые ERP-приложения, такие как продукты SAP и Oracle, в которых сейчас насчитывается 9 тыс. известных уязвимостей. Отмечается рост атак на эти системы со стороны государств, киберпреступников и хактивистов. Попытки взлома и DDoS-атаки нацелены на срыв бизнес-операций и подвергают тысячи организаций прямому риску шпионажа, саботажа и финансового мошенничества.

В мае 2016 г. US-Cert предупредила о значительной угрозе, включающей взлом 36 всемирных организаций посредством использования известной к тому времени на протяжении пяти лет уязвимости приложений SAP. Сегодня авторы исследования призывают US-Cert объявить предупреждение о риске атак на ERP-приложения.

В июле 2017 г. заслуженный аналитик Gartner Нил Макдональд предсказывал, что руководствующиеся финансовыми соображениями атакующие переключатся на уровень приложений и тогда такие бизнес-приложения, как ERP, CRM и HR, станут более привлекательными целями. «Во многих организациях ERP-приложения обслуживаются отдельной командой, и безопасность не является их высокоприоритетной задачей. В результате ради операционной доступности исправления часто не устанавливаются годами», — заявил он.

Исследование показывает, что киберпреступники активно используют известные уязвимости ERP-приложений и нацеливаются на особо ценные активы, такие как SAP HANA. За последние три года количество общедоступных эксплойтов для ERP-приложений SAP и Oracle выросло на 100%, а интерес к их уязвимостям и активность в этой области в 2017 г. возросли по сравнению с 2016-м на 160%.

Известные группы хактивистов и киберпреступников расширяют арсенал своих тактических приемов, методов и процедур, нацеливая их конкретно на ERP-приложения. Группы хактивистов, в частности, связанные с Anonymous, расширяют свои операции. Более девяти операций предусматривают взлом и вывод из строя важнейших платформ ERP.

Для кражи полномочий и данных из защищенных брандмауэром ERP-приложений стали использоваться известные вредоносные программы, такие как Dridex. К взлому ERP-приложений с целью получения секретной информации и/или нарушения важнейших бизнес-процессов стали привлекаться хакеры, связанные с некоторыми государствами.

Посторонние лица и сотрудники компаний раскрывают информацию, которая может оказаться весьма ценной для людей искушенных. Исследователи обнаружили 545 файлов SAP, ставших общедоступными в результате неправильной настройки систем и позволяющих атакующим определить местонахождение секретных файлов в сетях организаций.

Причины расширения площади атаки ERP

Облака, мобильность и цифровая трансформация быстро увеличивают площадь атаки ERP, говорится в исследовании. Более 17 тыс. ERP-приложений SAP и Oracle открыты для доступа через Интернет. Многие их версии уязвимы и имеют незащищенные компоненты. Они принадлежат крупнейшим коммерческим и правительственным организациям мира. В этом отношении выделяются Великобритания, Германия и США. «Те, кто представляют угрозу, прекрасно осведомлены об этом и активно делятся информацией через „темный“ Интернет и криминальные форумы, чтобы находить такие публичные приложения и делать их своей мишенью», — утверждается в исследовании.

Подавляющее большинство крупных организаций использует ERP-приложений SAP и Oracle для поддержки бизнес-процессов. Это такие продукты, как SAP Business Suite, SAP S/4HANA и Oracle E-Business Suite/Financials. Они применяются в финансовом планировании, управлении зарплатой, казначейством, складскими запасами, производством, продажами, логистикой и биллингом. Они хранят такие данные, как финансовые результаты, производственные формулы, цены, важнейшая интеллектуальная собственность, кредитные карты и персональные сведения о сотрудниках, клиентах и поставщиках, а также другую конфиденциальную информацию.

До сих пор, утверждается в исследовании, проблемы кибербезопасности ERP в основном игнорировались из-за отсутствия публикаций о взломах и информации о тех, кто представляет угрозу в этом, как считают многие специалисты по безопасности, сложном и малоизвестном сегменте.

Преступники постоянно совершенствуют свою тактику, чтобы поживиться за счет организаций, отметил директор по информационной безопасности (CISO) и вице-президент Digital Shadows по стратегии Рик Холланд: «С одной стороны, это не удивительно, если учесть, какие данные хранят платформы ERP. Однако мы были удивлены, обнаружив, насколько реальной и серьезной является эта проблема».

Глубина и широта охвата разведки угроз

Главный технолог Onapsis Хуан Пабло Перес заявил, что исследование отличается беспрецедентной глубиной и широтой охвата разведки угроз. «Показывая, как активно эти приложения выбираются в качестве мишеней разнообразными источниками угроз в различных географических регионах и отраслях, мы надеемся преодолеть имеющиеся в отрасли ложные концепции и помочь CIO, CISO и их организациям начать действовать и управлять риском широкомасштабных атак на ERP-приложения, которые могут иметь разрушительный эффект и макроэкономические последствия».

Традиционные средства защиты, такие как управление идентификацией пользователей и разделение полномочий, не позволяют эффективно обнаруживать и предотвращать действия атакующих ERP-приложения. «Хотя некоторые руководители все еще считают, что находящиеся за брандмауэром ERP-приложения защищены, мы наблюдали явные признаки того, что вредоносная активность нацелена на эту среду при отсутствии прямого подключения к Интернету, — говорится в исследовании. — Далее, поразительно большое число незащищенных ERP-приложений непосредственно доступны из Интернета как на собственных площадках организаций, так и в публичных облаках, что увеличивает их площадь атаки и незащищенность».