欢迎光临百盛彩票app

SAP应用安全性在BlackHatDC

香波/浴液 2019-09-04 17:562593顶点小说门户网站南山南Ba

随着越来越多的SAP系统连接到Web,许多组织的安全状况正在发生变化。

多少-以及这些变化意味着什么-将在即将到来的BlackHatDC会议上,由Onapsis的研发主管MarianoNu??ezDiCroce强调。

“如果我们考虑攻击者的共同目标和动机-例如间谍活动,破坏和/或欺诈-我们将看到ERP系统和业务关键型应用程序,如SAP,一直是他们的天然目标,“NuCroz告诉eWEEK。”如果有人想要访问最敏感的商业信息,这些是他试图妥协的系统。“

十多年前,大多数ERP系统只在内部使用,他补充说。今天,许多组织需要提供实时他说,远程业务管理功能最终将它们连接到不受信任的网络,如互联网。

“我发现它很惊讶看看大多数大型组织如何投入大量资源来保护其IT基础架构,例如网络设备,操作系统和Web应用程序,但仍然无法正确保护其ERP系统,“研究人员说。“如果攻击者可以完全控制系统保留组织的王冠,他们为什么要妥协文件服务器?”

在1月18日的演讲中,Nu??ezDiCroce定于解释远程攻击者如何破坏不同的SAPWeb组件,以及如何减轻这些威胁。特别是,他将详细说明影响“强化”SAPEnterprisePortal实施的身份验证绕过漏洞。

“在简报中我们提出了我们在SAP系统的Web组件中发现的漏洞,“他说。”其中之一是在使用外部身份验证机制(如双因素身份验证解决方案)时对SAP企业门户身份验证进行旁路。使用此类身份验证的高知名度组织正在尝试提高其安全级别。但是,如果他们不小心谨慎并遵循SAP的安全建议,他们就可以自己动手,让攻击者完全绕过身份验证并控制系统。“

传统上,他补充道,这些系统的安全性只与职责分离(SoD)有关。

“2011年,这还不够,”他说,“这些系统有自己的技术框架,可能容易受到特定安全漏洞的影响。如果被利用,这可能会使应用SoD控制所投入的所有努力无效。我认为组织现在必须......从整体上开始审核和保护他们的ERP系统。SAP也在采取一些积极主动的措施来推动这一方向发展。“这只是时间问题。”

SAP发言人在给eWEEK的一份声明中表示,该公司与研究人员密切合作,以保护其产品的安全。

今天“企业面临着安全和数据完整性的诸多威胁,例如商业世界中网络犯罪的惊人增长,”发言人说。“SAP一直与安全研究人员密切合作,......当出现任何此类安全问题时,我们的目标是保护他们的安全,这对我们的客户来说是双赢的。“

BlackHatDC2011将于1月16日至19日在弗吉尼亚州阿灵顿的凯悦酒店水晶城酒店举行。。

上一篇:Paul Prudhomme的两天 下一篇:没有了

Copyright © 2019 百盛彩票app 版权所有