בתקופה האחרונה התפרסמה הפגיעות ה-3,000 במערכת ה-SAP, כך לפי מומחי אבטחה העוסקים בתחום ה-ERP. ניתוח ההודעות שהוציאה החברה בנוגע לפגיעויות מלמד כי. . .
רמת הסיכון הטמונה בניצולן נמצאת בעליה. לטענת מומחי אבטחה, מרבית הארגונים אינם מבינים את החומרה האמיתית של הסיכונים עימם הם צריכים להתמודד כתוצאה מהאקרים המחפשים דרכים לנצל פגיעויות במערכת הכי קריטית שלהם בהיבטי משימות ונתונים.
"באם אתה תוקף, למה אתה צריך לפרוץ לשרת קבצים, אפליקציית Web או נקודת גישה אלחוטית כאשר אתה יכולה לגשת ישירות למערכות שמאחסנות את הנתונים הארגוניים הרגישים ביותר, וקיים סיכון נמוך ביותר שתחשף באם תנסה לפרוץ אליהן?", הם מזהירים. יתרה מכך, מחקר חדש מצא כי היקף הפגיעויות הקיימות במוצרי SAP בארגונים היא בדרך כלל גבוהה יותר ביחס לתוכנות אחרות בהן נעשה שימוש. לפי המחקר, פגיעויות ב-SAP מהוות 5% מכלל הפגיעויות שפורסמו אי פעם באינטרנט.
מומחי אבטחה מזהירים גם מפני תחושת בטחון מוטעית בכל הנוגע לרמת האבטחה במערכות אלו נוכח כלי עדכון המוצעים ע"י SAP עצמה. אחד מהכלים הללו הוא RSECNOTE, אותו ניתן להריץ בסביבת ה-SAP על מנת למצוא פגיעויות שלא הוטלאו. "הבעיה עם הכלי הזה היא שהוא מודיע או מעדכן רק פגיעויות קריטיות וקלות לתיקון", מציינים המומחים. כך יוצא שהכלי מציין פחות מ-20% מהיקף הטלאים האמיתי שנדרש. חלק מהפגיעויות בעלות רמות הסיכון הגבוהות ביותר הינן פגיעויות תצורה (קונפיגורציה); שינויים קלים בתצורה המערכת הינם מורכבים לביצוע, מאחר והם עלולים לקטוע תהליכים עסקיים מרכזיים.
במטרה להתמודד עם סיכוני אבטחה מסוג זה, אנו מבצעים מבדק ייעודי למערכת ה-SAP. מטרת המבדק היא למפות את הפרצות בסביבת SAP באמצעות מבדק חדירה המתבצע מתוך הרשת המקומית של הארגון. במסגרת זו, נבדקים מספר נתיבי פריצה, העלולים לייצג תרחישי תקיפה שונים. המבדק מבוצע באמצעות שילוב של סריקות ידניות וכלי בדיקה אוטומטיים המותאמים לסביבת SAP. ממצאי הבדיקות מכילים הנחיות פרטניות ממוקדות לטיפול בחשיפות שנמצאו, בנוסף למסקנות והמלצות לשינויי תצורה בסביבת המערכת והתקנת עדכונים רלוונטיים.
למחקר המלא- כאן