Основные мифы безопасности бизнес-приложений

Основные мифыбезопасности бизнес-приложений

Илья Медведовский,

к.т.н., директор Digital Security

© 2002—2010, Digital Security

Основные мифы безопасности бизнес-приложений

Digital Security

2

Обеспечение безопасности

корпоративных бизнес-приложений —

это одна из важнейших задач современного бизнеса


Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет

3

Взгляд с точки зрения бизнеса:

Наиболее характерен для внутренних корпоративных ERP систем

Бизнес наивно полагает, что ERP система не подключена к Интернет

бизнес давно вышел за рамки внутренней среды

Интеграция с удаленными офисами

Интеграция с партнерами, поставщиками, закупщиками

Практически все системы класса ERP так или иначе

предоставляют доступ из сети Интернет

Даже если приложение внутреннее, то вовсе не означает, что в

него невозможно проникнуть из Интернета



Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет

4

Взгляд с технической точки зрения:

1. Проще атаковать пользователей

Связь соц. инженерии с программными уязвимостями

в популярных браузерах

в ERP системах

Существует возможность, позволяющая проникнуть в ИС

компании, с целью передачи критичных данных из SAP

системы через уязвимости клиентских утилит SAP

2. Если к ERP системе предусмотрен доступ из Интернет

Аналогично любой другой доступной в Интернет системе

Множество уязвимостей, присущих веб-приложениям



Миф 2. Безопасность бизнес-приложений — это проблема производителя

5

Следует четко понимать, что безопасность приложения — это

проблема бизнеса, никоим образом не имеющая отношения к

производителю


С каких пор производитель несет ответственность за инциденты?

Производитель продает лицензию — его ответственность явно

указана в лицензионном соглашении

Вопросы безопасности не являются конкурентным преимуществом


6

Миф 2. Безопасность бизнес-приложений — это проблема производителя


1. Программные ошибки

2. Архитектурные ошибки

3. Ошибки конфигурации

4. Проблемы человеческого фактора

Проблемы безопасности:

{{производитель

администратор

разработка иадминистрирование

администрирование

}}


Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит

7


часто располагаются внутри корпоративной сети

разработчики, думают что их система является внутренней (миф

1), сложной и недоступной и не обращают внимания на вопросы

обеспечения безопасности


Безопасность бизнес-приложений, по определению, на

несколько порядков ниже, чем безопасность типовых ОС и

ПО


Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит

8


В популярных ОС и приложениях ежемесячно находятся уязвимости, так

как они находятся под постоянным прицелом хакеров

В итоге популярные приложения так или иначе становятся безопаснее

Внутренние бизнес-приложения закрыты для посторонних глаз

Иллюзия защищенности «безопасно, потому что засекречено»

Как только внутренние бизнес-приложения попадают во внешнюю сеть,

или злоумышленник сталкивается с ними, то иллюзии исчезают

За время работ по анализу защищенности различных специфичных бизнес-приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах



Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью

9


Самый типовой и крайне опасный миф:

безопасность ERP = матрица SOD

Разве установка правильных прав пользователей на контроллере

домена является панацеей для безопасности информационной

системы в целом?

ERP система только с матрицей SOD = дорогие стальные ворота с

дорогой современной системой контроля доступа и

видеонаблюдения, установленные в чистом поле



Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью

10


Необходимо рассматривать различные уровни: Сетевой уровень

Уровень операционной системы

Уровень СУБД

Уровень самого бизнес-приложения или ERP-системы

Уровень дополнительных компонентов и веб-приложений

Уровень клиентских компонентов ERP-системы

Недостатки хотя бы на одном из данных уровней могут привести к полной

компрометации системы, даже в случае идеально настроенной матрицы

SOD

Рассматривая безопасность бизнес-приложений, нужно

рассматривать систему в комплексе



Итоги

11


С одной стороны:

Бизнес-приложения являются основной всего бизнеса компании

С другой стороны:

На лицо тотальное недоценивание как производителями, так и

потребителями вопросов, связанных с информационной

безопасностью бизнес-приложений


Статистика уязвимостей в популярных бизнес-приложениях за 2009 год

12


Всего опубликовано

Обнаружены Digital Security

Опубликованы Digital Security

SAP

14

11

7

Oracle

114

12

5

За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе:

за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей;

за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.


Пример проникновения в корпоративную сетьчерез приложение

13


Проникновение в SAP

14


Распространение прав

15


Итоги проникновения

16

Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак!

В ходе проникновения были использованы только уязвимости SAP систем

Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании

Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP


Вопросы

17

Наши ресурсы:

www.dsec.ru

www.dsecrg.ru

www.pcidss.ru


http://www.dsec.ru/

http://www.dsecrg.ru/

http://www.pcidss.ru/

Documents

Основные мифы безопасности бизнес-приложений