保护sap 别无他选
保护sap部署
渗透测试将帮助评估与所有未发现漏洞相关的风险以及降低风险的最佳做法它还能够评估服务之间的关系,确定到这些数据的接入点能否抵御试图利用它们的攻击,以及测量网络防御的能力,以成功地检测和响应测试渗透测试模拟了潜在攻击者的角色,这是企业能够执行的最现实的安全测试erps发布了一个新的渗透工具,叫做sap erpscan安全扫描器,专门用于发现容易遭受攻击的sap部署
随着时间的推移,主要软件供应商(包括sap)已经显著提高了其软件安全水平安全要求是sap开发模式如何维服务器的组成部分,其开发模式被称为产品创新生命周期(product innovation lifecycle,pll)pll侧重于合法合规、降低所有权总成本以及避免潜在安全漏洞sap不仅对其产品执行内部安全评估,并允许外部机构和独立人士对其产品进行评估,以确保遵循其安全开发准则(polyakov的攻击针对的是以卡通人物dilbert命名的sap测试服务,虽然这有点令人担心
当然,没有软件能够永远不出现错误和漏洞java虚拟机中同样发现了与polyakov曝光的类似的问题,因此,基于j2ee且使用xml传输数据的peoplesoft和oracle e-business套件等业务系统很容易遭受ssrf式的攻击这些服务器怎么设置安全一些不断涌现出的问题强调了正确配置企业软件以及硬化运行这些软件的机器的重要性sap已经修复了polyakov攻击所利用的漏洞,但是,管理员必须一如既往的订阅其供应商的警报信息,以随时了解最新威胁和修复补丁信息,从而打击攻击
在这篇文章中,笔者将为担心其sap部署安全性的企业提供sap安全纵览,以及抵御服务器端请求伪造攻击的一些技巧
sap ag是世界上最大的软件公司之一,在全球各地有超过183,000个客户在使用其应用和服务知名产品包括sap erp、sap business warehouse和sap business objects等,一些全球最大的企业都在使用这些产品
在未来几年内,sap软件将仍然是很多世界服务器安全策略上最大的企业的运营中的一个重要元素,攻击者也将继续攻击sap简单地说,企业别无选择,必须严格地保护其sap部署polyakov演示的服务器端请求伪造攻击是一个警钟,他向我们展示了sap攻击的现实及其危害幸运的是,只要企业采取正确的预防措施,全面的sap安全性是可以实现的
坐拥如此庞大的用户群,不可避免地使sap的软件成为攻击者“垂涎”的目标,原因显而易见:有价值的数据存储在同一个地方,由成千上万用户使用的软件来处理,并且能够通过互联网访问网络犯罪分子愿意花费大量时间和资源来开发针对sap部署的恶意软件,因为潜在的回报将是值得的
sap安全性纵览
很多企业没有修复关键任务型系统,因服务器的防护措施有哪些为更新这些复杂和自定义的部署非常困难对于零日漏洞tns poison,oracle公司仅仅发布了一个安全警报,而不是一个补丁,其理由是这个补丁将非常复杂,并且 “向后迁移(backport)”存在危险企业软件复杂性的问题意味着很多系统存在很多已知安全漏洞,而纯粹地依赖于防火墙和dmz来进行保护考虑到不断被发现的新漏洞,关键任务型软件程序应该放置在受良好保护的网段,同时,部署防火墙监测传入和传出流量
如果攻击来自值得信赖的来源,例如polyakov的ssrf式攻击,入站防火墙规则不可能阻止这种攻击并且,所有机器都应该被硬化,数据库的配置与处理数据的软件必须根据供应商的规范进行配置,服务器安全怎么维护以确保设置的安全性由于业务关键型应用不会处理隔离的数据,连接到这些机器和来自这些机器的数据也应该被加密
责编:孔维维
广泛的日志记录对于发现和跟踪攻击是非常重要的例如,用于破坏系统的零日攻击可能不会被发现,但是通过部署网络传感器日志记录和分析内部网络流量以发现不寻常活动,将能够触发警报,而这将可能发现攻击行为,如果没有日志记录,攻击可能被忽略另一个重要的安全控制是渗透测试,它可以评估防火墙、入侵检测系统和防病毒网关是否按预期执行以及是否有效地保护网络
在2012年黑帽大会上,erpscan研究人员alexander polyakov使用被称为服务器端请求伪造(ssrf)的攻击技术来启动一系列漏洞,导致sap软件服务器安全测试堆栈的核心sap kerne出现缓冲区溢出基于ssrf的攻击通过将恶意代码隐藏在看似合法的应用数据包内来躲避检测,使其能够绕过防火墙和内部sap安全配置研究人员演示的这个攻击是在单个请求中,这使基于签名的入侵检测系统(ids)几乎不可能将其识别为恶意软件
北京的权威白癜风专家北京治疗白癜风权威医院