Upload
digital-security
View
964
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
Основные мифыбезопасности бизнес-приложений
Илья Медведовский,
к.т.н., директор Digital Security
© 2002—2010, Digital Security
Основные мифы безопасности бизнес-приложений
Digital Security
2
Обеспечение безопасности
корпоративных бизнес-приложений —
это одна из важнейших задач современного бизнеса
© 2002—2010, Digital Security
Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет
3
Взгляд с точки зрения бизнеса:
Наиболее характерен для внутренних корпоративных ERP систем
Бизнес наивно полагает, что ERP система не подключена к Интернет
бизнес давно вышел за рамки внутренней среды
Интеграция с удаленными офисами
Интеграция с партнерами, поставщиками, закупщиками
Практически все системы класса ERP так или иначе
предоставляют доступ из сети Интернет
Даже если приложение внутреннее, то вовсе не означает, что в
него невозможно проникнуть из Интернета
Основные мифы безопасности бизнес-приложений
© 2002—2010, Digital Security
Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет
4
Взгляд с технической точки зрения:
1. Проще атаковать пользователей
Связь соц. инженерии с программными уязвимостями
в популярных браузерах
в ERP системах
Существует возможность, позволяющая проникнуть в ИС
компании, с целью передачи критичных данных из SAP
системы через уязвимости клиентских утилит SAP
2. Если к ERP системе предусмотрен доступ из Интернет
Аналогично любой другой доступной в Интернет системе
Множество уязвимостей, присущих веб-приложениям
Основные мифы безопасности бизнес-приложений
© 2002—2010, Digital Security
Миф 2. Безопасность бизнес-приложений — это проблема производителя
5
Следует четко понимать, что безопасность приложения — это
проблема бизнеса, никоим образом не имеющая отношения к
производителю
Основные мифы безопасности бизнес-приложений
С каких пор производитель несет ответственность за инциденты?
Производитель продает лицензию — его ответственность явно
указана в лицензионном соглашении
Вопросы безопасности не являются конкурентным преимуществом
© 2002—2010, Digital Security
6
Миф 2. Безопасность бизнес-приложений — это проблема производителя
Основные мифы безопасности бизнес-приложений
1. Программные ошибки
2. Архитектурные ошибки
3. Ошибки конфигурации
4. Проблемы человеческого фактора
Проблемы безопасности:
{{производитель
администратор
разработка иадминистрирование
администрирование
}}
© 2002—2010, Digital Security
Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит
7
Взгляд с точки зрения бизнеса:
часто располагаются внутри корпоративной сети
разработчики, думают что их система является внутренней (миф
1), сложной и недоступной и не обращают внимания на вопросы
обеспечения безопасности
Основные мифы безопасности бизнес-приложений
Безопасность бизнес-приложений, по определению, на
несколько порядков ниже, чем безопасность типовых ОС и
ПО
© 2002—2010, Digital Security
Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит
8
Взгляд с технической точки зрения:
В популярных ОС и приложениях ежемесячно находятся уязвимости, так
как они находятся под постоянным прицелом хакеров
В итоге популярные приложения так или иначе становятся безопаснее
Внутренние бизнес-приложения закрыты для посторонних глаз
Иллюзия защищенности «безопасно, потому что засекречено»
Как только внутренние бизнес-приложения попадают во внешнюю сеть,
или злоумышленник сталкивается с ними, то иллюзии исчезают
За время работ по анализу защищенности различных специфичных бизнес-приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах
Основные мифы безопасности бизнес-приложений
© 2002—2010, Digital Security
Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью
9
Взгляд с точки зрения бизнеса:
Самый типовой и крайне опасный миф:
безопасность ERP = матрица SOD
Разве установка правильных прав пользователей на контроллере
домена является панацеей для безопасности информационной
системы в целом?
ERP система только с матрицей SOD = дорогие стальные ворота с
дорогой современной системой контроля доступа и
видеонаблюдения, установленные в чистом поле
Основные мифы безопасности бизнес-приложений
© 2002—2010, Digital Security
Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью
10
Взгляд с технической точки зрения:
Необходимо рассматривать различные уровни: Сетевой уровень
Уровень операционной системы
Уровень СУБД
Уровень самого бизнес-приложения или ERP-системы
Уровень дополнительных компонентов и веб-приложений
Уровень клиентских компонентов ERP-системы
Недостатки хотя бы на одном из данных уровней могут привести к полной
компрометации системы, даже в случае идеально настроенной матрицы
SOD
Рассматривая безопасность бизнес-приложений, нужно
рассматривать систему в комплексе
Основные мифы безопасности бизнес-приложений
© 2002—2010, Digital Security
Итоги
11
Основные мифы безопасности бизнес-приложений
С одной стороны:
Бизнес-приложения являются основной всего бизнеса компании
С другой стороны:
На лицо тотальное недоценивание как производителями, так и
потребителями вопросов, связанных с информационной
безопасностью бизнес-приложений
© 2002—2010, Digital Security
Статистика уязвимостей в популярных бизнес-приложениях за 2009 год
12
Основные мифы безопасности бизнес-приложений
Всего опубликовано
Обнаружены Digital Security
Опубликованы Digital Security
SAP
14
11
7
Oracle
114
12
5
За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе:
за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей;
за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.
© 2002—2010, Digital Security
Пример проникновения в корпоративную сетьчерез приложение
13
© 2002—2010, Digital Security
Проникновение в SAP
14
© 2002—2010, Digital Security
Распространение прав
15
© 2002—2010, Digital Security
Итоги проникновения
16
Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак!
В ходе проникновения были использованы только уязвимости SAP систем
Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании
Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP
© 2002—2009, Digital Security
Вопросы
17
Наши ресурсы:
www.dsec.ru
www.dsecrg.ru
www.pcidss.ru
Основные мифы безопасности бизнес-приложений