لتوضيح موضوعات الهجوم والبنية النموذجية ، سنقدم أمثلة على حل SAP ERP ، لأنه الحل الأكثر انتشارًا الذي تم تثبيته في 85٪ من شركات Fortune 2000.
مخاطر التكوين غير الآمن لأنظمة تخطيط موارد المؤسسات وتطبيقات الأعمال الأخرى هي كما يلي.
1. الهجمات عبر الخدمات الضعيفة
معظم أنظمة تخطيط موارد المؤسسات لديها العشرات وحتى مئات الخدمات المثبتة افتراضيا. وهي تشمل خدمات نموذجية وكذلك على شبكة الإنترنت. بعضها مسؤول عن الوظائف الإدارية المختلفة. على سبيل المثال ، تسمح SAP Management Console ، أو SAPControl ، بالتحكم عن بعد عبر أنظمة SAP. وظائفها الرئيسية هي البدء والتوقف عن بعد ، لأداء أيهما يتطلب معرفة اسم المستخدم وكلمة المرور.
ومع ذلك ، هناك بعض الوظائف ، والتي يمكن استخدامها عن بعد دون مصادقة. يسمح معظمهم بقراءة سجلات وآثار مختلفة وأحيانًا معلمات النظام.
2. امتياز التصعيد من قبل المطلعين
عندما يتصل المستخدمون بالخادم عبر تطبيق عميل مثل SAP GUI ، يمكنهم تنفيذ وظائف مختلفة. إذا أرادوا تنفيذ بعض الوظائف ، على سبيل المثال ، إنشاء أمر دفع أو مستخدم جديد أو ملء أي نموذج ، فيجب عليهم إدخال اسم المعاملة المعين في قائمة SAP. سيفتح النظام نافذة حوار حيث يمكن للمستخدم تحديد معلمات مختلفة. على سبيل المثال ، إذا قام المستخدمون بتنفيذ المعاملة SU01 لإنشاء مستخدمين جدد في النظام ، فسوف يرون شاشة حيث يحتاجون إلى ملء جميع التفاصيل حول المستخدم حديثًا ، ثم انقر فوق الزر "إنشاء". إذا كانت البيانات صحيحة ، فسيتم إنشاء المستخدم الجديد في النظام.
ومع ذلك ، فإن الاتصال عبر SAP GUI والمعاملات الجارية ليست الطريقة الوحيدة لأداء وظائف SAP. أنظمة SAP معقدة ويمكن تنفيذ إجراء واحد بطرق متعددة. على سبيل المثال ، تشمل الطرق الأخرى لتنفيذ الوظائف في نظام SAP:
- تشغيل مهمة خلفية باستخدام RFC (مثل RPC في Windows) ؛
- استدعاء نفس الوظيفة عبر واجهة SOAP - واجهة قائمة على الويب لتشغيل برامج RFC عن بُعد ؛
- تنفيذ تطبيق ويب Dynpro. Web Dynpro هي واجهة على شبكة الإنترنت لنظام SAP والتي يمكن استخدامها إذا لم يكن لدى العمال تطبيق عميل وكان لديهم متصفح ويب فقط.
كما ترون ، كل هذه الأساليب تتطلب مقاربة مختلفة للحماية.
3. المطورين الخبيثة
قد تكون للبرامج المكتوبة بلغة ABAP (لغة خاصة بـ SAP تهدف إلى توسيع وظائف أنظمة SAP) نقاط ضعف ، والأهم من ذلك ، يمكن استخدام هذه اللغة أيضًا لكتابة الخلفية التي يمكن أن توفر وظائف ضارة مثل إرسال تفاصيل كل معاملة إلى طرف ثالث عبر البريد الإلكتروني أو حتى نشرها على Twitter.
لسوء الحظ ، فإن التطوير داخل الشركة لا يتم التحكم فيه تقريبًا. يمكنك مراقبة حدوث برامج جديدة في النظام وإيجاد مطور محتمل ولكن لا يمكنك اكتشاف ما يقوم به كل برنامج جديد بالضبط ما لم تقرأ كل سلسلة من التعليمات البرمجية المصدر. وبالتالي ، دون استخدام حلول إضافية ، لا أحد يعرف بالضبط ما يؤديه المطورون في النظام. لا توجد أي تدابير رقابة على الإطلاق ، يمكن أن يطوروا رمزًا غير آمن ، ويفتقدون إضافة شيكات التحكم في الوصول في البرنامج ، ويرسلون الأموال إلى حساباتهم المصرفية ، ولن يتمكن أي شخص من معرفة ذلك ما لم ينظر الشخص إلى شفرة المصدر الخاصة به. وبالتالي ، فإن عدم وجود سيطرة على المطورين يجعلهم نوعًا من إله SAP ، ويجب تحليل تصرفاتهم.
4. اتصالات غير آمنة
يجب عليك توصيل تطبيقات مختلفة لأتمتة العمليات التجارية. على سبيل المثال ، إذا كنت ترغب في إنشاء فاتورة في SAP System تلقائيًا وإرسال الأموال إلى حساب مصرفي معين عبر النظام المصرفي ، فأنت بحاجة إلى الاتصال بنظام ERP والنظام المصرفي. ترتبط أنظمة تطبيقات الأعمال ببعضها مثل شبكة العنكبوت. في الواقع ، هناك العشرات من الروابط المتشابهة ويمكن أن تكون جميعها حاسمة من حيث الأمن. على سبيل المثال ، قد تخزن هذه الاتصالات أسماء المستخدمين وكلمات المرور. علاوة على ذلك ، فإن الأنظمة متشابكة ليس فقط داخل شبكة الشركة ولكن أيضًا مع الشبكات الشريكة عبر الإنترنت أو مع مقدمي خدمات آخرين مثل البنوك أو شركات التأمين. ترتبط بعض الأنظمة مباشرة بشبكة ICS / SCADA عبر أنظمة SAP معينة مثل SAP xMII (تكامل التصنيع والذكاء) أو SAP PCo (SAP Plant Connectivity).
من الناحية الفنية ، تتم إدارة هذه العملية بواسطة RFC (استدعاء الوظائف عن بُعد) وغيرها من الاتصالات بين SAP Systems ، التي تخزن عادةً بيانات الاعتماد للوصول إلى نظام ساتلي. يتم تطوير اتصالات RFC بواسطة SAP لنقل البيانات بين نظامي SAP. كشفت أبحاث ERPScan أن متوسط عدد الاتصالات في نظام SAP النموذجي يبلغ حوالي 50 ، وعادة ما يخزن 30 ٪ منهم بيانات الاعتماد. بمجرد اقتحام المهاجمين لأضعف وحدة SAP ، يمكنهم بسهولة الوصول إلى الأنظمة المتصلة ، من منهم إلى الآخرين. لذلك ، تعد مراجعة جميع أنواع الاتصالات بين أنظمة SAP مهمة للغاية. على سبيل المثال ، من الممكن الوصول إلى البنية التحتية OT لشركة Oil and Gas وسرقة النفط باستخدام سلسلة من نقاط الضعف والصلات بين الأنظمة التي تستغل ثغرة SAP كنقطة انطلاق.
في المقالة التالية سوف نركز على حماية أنظمة ERP.