ERPs und andere Unternehmensanwendungen spielen eine wichtige Rolle in der Unternehmensarchitektur und in GeschÀftsprozessen. Leider können diese Systeme leicht Cyberangriffen zum Opfer fallen.
Was ist ERP?
ERP ist ein Enterprise Resource Planning System. Wie Sie unter diesem Akronym verstehen können, ist dieses System fĂŒr die Verwaltung aller Unternehmensressourcen verantwortlich. Vor vielen Jahren speicherten Menschen alle Informationen ĂŒber Mitarbeiter, Materialien, Produkte, Kunden usw. Auf dem Papier wurden dann Excel-Tabellen verwendet, aber spĂ€ter, als die Anzahl der an GeschĂ€ftsprozessen beteiligten Mitarbeiter zunahm und der Bedarf an Automatisierung erheblich zunahm, trafen wir auf ERP-Systeme. Diese Systeme speichern und verarbeiten jetzt alle âKronjuwelenâ eines Unternehmens. Sie stellen jedoch auch ein groĂes Risiko dar, wenn sie nicht ordnungsgemÀà gesichert werden.
Eine typische Cyber-Kill-Kette besteht aus mehreren Schritten wie der ersten AufklĂ€rung, dem ersten Kompromiss, dem Aufbau von Halt, der Eskalation von Berechtigungen, dem Zugriff auf das unternehmenskritische System, der internen AufklĂ€rung und schlieĂlich dem Diebstahl der Daten oder dem Ăndern einiger kritischer Konfigurationsparameter.
Es gibt zahlreiche Sicherheitslösungen (Firewalls, WAFs, Endpunktschutzsysteme usw.), mit denen anfÀngliche Eingriffe erkannt oder sogar verhindert werden sollen. Sie konzentrieren sich hauptsÀchlich auf die ersten Phasen eines Angriffs, aber einige von ihnen können auch helfen, wenn sich ein Angreifer bereits im System befindet.
Jedes Jahr werden immer mehr Datenverletzungen festgestellt, wĂ€hrend in den meisten Opferunternehmen gemeinsame Sicherheitsmechanismen implementiert sind. Es scheint darauf hinzudeuten, dass der Zugriff auf ein Unternehmensnetzwerk fĂŒr erfahrene Angreifer keine schwierige Aufgabe ist. Meiner Meinung nach wird sich diese Situation in naher Zukunft nicht Ă€ndern. Wenn etwas wertvoll ist, wird jemand versuchen, es zu stehlen.
Die vernĂŒnftigste Strategie besteht also darin, die kritischsten Vermögenswerte zu schĂŒtzen, und es ist eine völlig andere Aufgabe als der Schutz von Grenzen.
Stellen Sie sich vor, unser Netzwerk ist eine Burg. Die SicherheitsmaĂnahmen werden umgesetzt: Hier ist ein Wassergraben voller Krokodile, Burgmauern und TĂŒrme mit Wachen. Es scheint sicher. Wenn jedoch ein Maulwurf einen Tunnel unter den Burgmauern grĂ€bt und hineinkommt, erhĂ€lt der Eindringling Zugang zum Schatz, da sich im Schloss fast keine SicherheitsausrĂŒstung befindet.
Zusammenfassend ist es offensichtlich, dass wir uns zumindest auf die folgenden Bereiche der Cybersicherheit konzentrieren sollten:
- Netzwerksicherheit
- Sicherheit von Webanwendungen
- Endpunktsicherheit
- Identity and Access Governance
- Erkennung und Reaktion von VorfÀllen
- Sicherheit von GeschÀftsanwendungen
Das letzte Thema verdient gröĂere Aufmerksamkeit, da es fĂŒr geschĂ€ftskritische Prozesse verantwortlich ist. Um ehrlich zu sein, dienen alle unsere Netzwerke, Webanwendungen, Endpunkte und IdentitĂ€tssysteme hauptsĂ€chlich dem Zugriff auf GeschĂ€ftsanwendungen wie ERP-Systeme. Ohne sie erweisen sich alle Funktionen der IT-Infrastruktur als nahezu nutzlos.
Auf dem Markt sind verschiedene ERP-Systeme erhÀltlich. Die gÀngigsten Systeme sind SAP ECC, Oracle EBS, Oracle JDE, Microsoft Dynamics, Infor usw. Obwohl sie sich in Details unterscheiden, sind sie im Allgemeinen ziemlich Àhnlich und stellen eine dreistufige Architektur dar, die aus einem Fat Client oder Webbrowser, einem Anwendungsserver oder mehreren Anwendungsservern mit einem Load Balancer und einer Datenbank als Backend besteht.
Warum sollten wir uns darum kĂŒmmern?
Was kann passieren, wenn jemand in die wichtigsten Assets wie ERP sowie SCM (Supply Chain Management) und PLM (Product Lifecycle Management) einbricht?
Spionage (Verletzung der Vertraulichkeit) umfasst den Diebstahl von Finanzinformationen, GeschÀftsgeheimnissen von Unternehmen, geistigem Eigentum und Kundendaten.
Sabotage (Verletzung der VerfĂŒgbarkeit) kann in Form von vorsĂ€tzlicher Verschlechterung der ProduktqualitĂ€t, Produktionsverderb, BeschĂ€digung der AusrĂŒstung, Manipulation der Lieferkette, VerstöĂen gegen die Compliance und Manipulation von Finanzberichten erfolgen.
Betrug (Verletzung der IntegritĂ€t). Es gibt verschiedene Arten von Betrug, die sich auf Reihenmaterialien, Fertigwaren, Finanzen usw. beziehen können. SchlieĂlich gehört Terrorismus (wie Explosion) jetzt auch zu den Cybersicherheitsrisiken. All dies kann aufgrund einer einzelnen SicherheitsanfĂ€lligkeit im ERP-System passieren.
Auf dem Markt sind verschiedene ERP-Systeme erhÀltlich. Die gÀngigsten Systeme sind SAP ECC, Oracle EBS, Oracle JDE, Microsoft Dynamics, Infor usw. Obwohl sie sich in Details unterscheiden, sind sie im Allgemeinen ziemlich Àhnlich und stellen eine dreistufige Architektur dar, die aus einem Fat Client oder Webbrowser, einem Anwendungsserver oder mehreren Anwendungsservern mit einem Load Balancer und einer Datenbank als Backend besteht.
Was noch wichtiger ist, sie unterscheiden sich von herkömmlichen Anwendungen in den folgenden Optionen:
KomplexitĂ€t KomplexitĂ€t tötet in der Regel die Sicherheit. Stellen Sie sich vor, das ERP-System von SAP (238 Millionen Codezeilen wie 2007) enthĂ€lt insgesamt mehr Quellcode-Zeichenfolgen als Windows 7 + Mac OS Tiger + Debian 5 (85+ 65 + 40 Millionen Codezeilen). Daher kann es auf allen Ebenen, vom Netzwerk bis zur Anwendung, viele verschiedene SicherheitslĂŒcken geben. ( http://www.informationisbeautiful.net/visualizations/million-lines-of-code/ )
Anpassung Jede GeschĂ€ftsanwendung wie ERP Ă€hnelt eher einem Framework, auf dem Kunden ihre eigenen Anwendungen in einer bestimmten Sprache entwickeln. Beispielsweise verwenden Programmierer die ABAP-Sprache, um die FunktionalitĂ€t von SAP System zu erweitern, wĂ€hrend sie fĂŒr Anwendungen wie Oracle PeopleSoft die PeopleCode-Sprache verwenden und die X + -Sprache in Microsoft Dynamics verwendet wird, um sie anzupassen.
KritikalitĂ€t. Diese Software wird selten aktualisiert, da Administratoren befĂŒrchten, dass die Systeme wĂ€hrend der Aktualisierung aufgrund der AbwĂ€rtskompatibilitĂ€t und der Verbindung mit Legacy-Systemen beschĂ€digt werden können. Manchmal treten sogar FĂ€lle auf, in denen SAP-Systeme mehrere Jahre lang nicht aktualisiert wurden. ( http://news.softpedia.com/news/five-year-old-sap-vulnerability-affects-over-500-companies-not-36-504043.shtml )
Geschlossene Natur. ERP-Systeme sind meist im Unternehmen verfĂŒgbar, weshalb GeschĂ€ftsanwendungen als geschlossene Welt gelten. Nur sehr wenige Sicherheitsexperten haben Zugriff auf sie und verbringen ihre Zeit damit, diese Systeme zu untersuchen.
Im nĂ€chsten Artikel werden wir ĂŒber typische Angriffsmethoden auf SAP-Systemen berichten.