如今,諸多因素正在將企業(yè)實施的大量ERP(企業(yè)資源計劃)應(yīng)用置于風(fēng)險之中。
首先,攻擊者可以更方便地集中其攻擊方向和伎倆。大多數(shù)大型企業(yè)都實施了幾種主要ERP應(yīng)用。這意味著攻擊者可以專門理解并發(fā)現(xiàn)一兩種ERP應(yīng)用的漏洞。
其次,回報豐厚。大型企業(yè)ERP都支持其最關(guān)鍵的業(yè)務(wù)流程,并將其最敏感的信息放在這些系統(tǒng)中。
第三,攻擊者可以充分利用已知的漏洞。ERP的客戶正努力保持跟蹤最新的安全漏洞,保持最新的安全配置和安全補丁。其中的原因有很多,其中包括:復(fù)雜的系統(tǒng)架構(gòu)、大量接口的集成、定制的功能以及對宕機時間的幾乎零容忍。因此,許多企業(yè)正在實施和運行并不安全的ERP應(yīng)用。
第四,由于云計算、移動計算等技術(shù)的應(yīng)用,在企業(yè)沒有正確實施安全措施的情況下,成千上萬的ERP應(yīng)用直接連接到了互聯(lián)網(wǎng)上,并能夠增加企業(yè)暴露在風(fēng)險中的可能性。
第五,信息被泄露。第三方和雇員使用互聯(lián)網(wǎng)上的不安全的文件存儲并在公共論壇中分享ERP的登錄憑據(jù),從而在不知不覺中泄露了內(nèi)部的ERP應(yīng)用。
風(fēng)險的回報率很有吸引力。因而,無論是國家層面、網(wǎng)絡(luò)罪犯,還是黑客組織等都在攻擊這些應(yīng)用,其目的無非是從事網(wǎng)絡(luò)間諜活動、網(wǎng)絡(luò)破壞、數(shù)據(jù)竊取,甚至是加密貨幣的挖掘。這種證據(jù)在暗網(wǎng)、網(wǎng)絡(luò)犯罪論壇、社交媒體上比比皆是,惡意份子在其中分享信息和各種工具,并且炫耀其成功的破壞活動。
很明顯,ERP應(yīng)用并不安全?!胺阑饓Α焙蟮腅RP實施正在成為攻擊者的目標?!霸骗h(huán)境”中的ERP應(yīng)用以及本地應(yīng)用都可以直接通過網(wǎng)絡(luò)訪問。甚至是對ERP應(yīng)用安全的一些傳統(tǒng)控制,如用戶身份管理、責任分離等,都有可能是無效的,因為攻擊者正在不斷地提升其策略、技術(shù)和過程。例如,攻擊者將分布式拒絕服務(wù)攻擊(DDoS)或銀行木馬與僵尸網(wǎng)絡(luò)結(jié)合起來。
幸運的是,對于安全專家來說,仍有許多方法可以減輕現(xiàn)有的威脅和風(fēng)險,特別是安全專家可以與ERP的管理結(jié)合起來,理解這些方案的技術(shù)復(fù)雜性、如何部署及其所支持的過程。
下面給出的一些建議可以幫助企業(yè)改進ERP應(yīng)用的安全狀況,而不管這些ERP是部署在本地或是在公有云、私有云、混合云等環(huán)境中。
首先,確認和減少ERP應(yīng)用層的漏洞、不安全的配置以及過高的用戶特權(quán)。這包括與廠商的安全補丁步伐保持一致、強化弱口令、檢查管理員和開發(fā)者的用戶特權(quán),以及那些用于批處理工作和與其他應(yīng)用進行交互的特權(quán)。還有一個重要的問題,在決定對哪些漏洞打補丁時,企業(yè)應(yīng)查找那些正被攻擊者積極利用的漏洞以及那些可被利用的漏洞。
其次,確認并清除企業(yè)中的不同ERP應(yīng)用的危險接口和API,尤其是那些與第三方和面向互聯(lián)網(wǎng)的接口。其中包括與開發(fā)部門、質(zhì)量擔保、生產(chǎn)前系統(tǒng)的接口,因為這些接口可被濫用作為入侵點。此外,還有加密的使用、服務(wù)賬戶特權(quán)以及在配置接口和API時的信任關(guān)系。另外,還有一個重要的方面,就是在沒有合法的業(yè)務(wù)理由情況下去評估敏感應(yīng)用是否被泄露。
第三,對敏感的ERP用戶活動和特定的ERP危害活動線索進行監(jiān)視和響應(yīng),其中包括可疑的用戶活動,如技術(shù)和業(yè)務(wù)類型的特權(quán)用戶和非特權(quán)用戶。企業(yè)還要實施一種可重復(fù)的過程,將ERP應(yīng)用融合到已有的事件監(jiān)視和響應(yīng)過程及功能中。
第四,監(jiān)視已泄露的ERP數(shù)據(jù)和用戶憑據(jù),其中包括監(jiān)視威脅情報源,以便于進行檢測。例如,監(jiān)視泄露的ERP憑據(jù)、已經(jīng)被有意或無意在互聯(lián)網(wǎng)上泄露的與ERP有關(guān)的信息,還有與ERP應(yīng)用有關(guān)的漏洞利用程序的證據(jù)以及漏洞。
上述建議應(yīng)當在完整的ERP應(yīng)用平臺上實施,無論是在業(yè)務(wù)層面還是在技術(shù)層面,都必須持之以恒,因為企業(yè)的環(huán)境和威脅狀況在不斷地演變。
很明顯,ERP應(yīng)用是網(wǎng)絡(luò)攻擊者的目標。幸運的是,許多控制和行動都是許多眾所周知的信息安全實踐和項目的實現(xiàn)。隨著安全團隊和ERP管理開始協(xié)作并提升當前的過程,在實施這些措施的過程中,企業(yè)可以改變攻擊者的風(fēng)險回報率,并使ERP應(yīng)用對攻擊者的吸引力更小。