Основные мифы безопасности бизнес-приложений
- 1. Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security
- 2. Digital Security © 2002— 2010, Digital Security Основные мифы безопасности бизнес-приложений 2 Обеспечение безопасности корпоративных бизнес-приложений — это одна из важнейших задач современного бизнеса
- 3. Миф 1 . Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет © 2002—2010, Digital Security 3 Взгляд с точки зрения бизнеса: Наиболее характерен для внутренних корпоративных ERP систем Бизнес наивно полагает, что ERP система не подключена к Интернет бизнес давно вышел за рамки внутренней среды Интеграция с удаленными офисами Интеграция с партнерами, поставщиками, закупщиками Практически все системы класса ERP так или иначе предоставляют доступ из сети Интернет Даже если приложение внутреннее, то вовсе не означает, что в него невозможно проникнуть из Интернета Основные мифы безопасности бизнес-приложений
- 4. Миф 1 . Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет © 2002—2010, Digital Security 4 Взгляд с технической точки зрения: Проще атаковать пользователей Связь соц. инженерии с программными уязвимостями в популярных браузерах в ERP системах Существует возможность, позволяющая проникнуть в ИС компании, с целью передачи критичных данных из SAP системы через уязвимости клиентских утилит SAP Если к ERP системе предусмотрен доступ из Интернет Аналогично любой другой доступной в Интернет системе Множество уязвимостей, присущих веб-приложениям Основные мифы безопасности бизнес-приложений
- 5. Миф 2 . Безопасность бизнес-приложений — это проблема производителя © 2002—2010, Digital Security 5 Следует четко понимать, что безопасность приложения — это проблема бизнеса, никоим образом не имеющая отношения к производителю Основные мифы безопасности бизнес-приложений С каких пор производитель несет ответственность за инциденты? Производитель продает лицензию — его ответственность явно указана в лицензионном соглашении Вопросы безопасности не являются конкурентным преимуществом
- 6. © 2002—2010, Digital Security 6 Миф 2 . Безопасность бизнес-приложений — это проблема производителя Основные мифы безопасности бизнес-приложений Программные ошибки Архитектурные ошибки Ошибки конфигурации Проблемы человеческого фактора Проблемы безопасности: { { производитель администратор разработка и администрирование администрирование } }
- 7. Миф 3 . Бизнес-приложения плохо изучены — значит нам ничего не грозит © 2002—2010, Digital Security 7 Взгляд с точки зрения бизнеса: часто располагаются внутри корпоративной сети разработчики, думают что их система является внутренней (миф 1 ), сложной и недоступной и не обращают внимания на вопросы обеспечения безопасности Основные мифы безопасности бизнес-приложений Безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС и ПО
- 8. Миф 3 . Бизнес-приложения плохо изучены — значит нам ничего не грози т © 2002—2010, Digital Security 8 Взгляд с технической точки зрения : В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров В итоге популярные приложения так или иначе становятся безопаснее Внутренние бизнес-приложения закрыты для посторонних глаз Иллюзия защищенности «безопасно, потому что засекречено» Как только внутренние бизнес-приложения попадают во внешнюю сеть, или злоумышленник сталкивается с ними, то иллюзии исчезают За время работ по анализу защищенности различных специфичных бизнес-приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах Основные мифы безопасности бизнес-приложений
- 9. Миф 4 . Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью © 2002—2010, Digital Security 9 Взгляд с точки зрения бизнеса : Самый типовой и крайне опасный миф: безопасность ERP = матрица SOD Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом? ERP система только с матрицей SOD = дорогие стальные ворота с дорогой современной системой контроля доступа и видеонаблюдения, установленные в чистом поле Основные мифы безопасности бизнес-приложений
- 10. Миф 4 . Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью © 2002—2010, Digital Security 10 Взгляд с технической точки зрения : Необходимо рассматривать различные уровни : Сетевой уровень Уровень операционной системы Уровень СУБД Уровень самого бизнес-приложения или ERP-системы Уровень дополнительных компонентов и веб-приложений Уровень клиентских компонентов ERP-системы Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы, даже в случае идеально настроенной матрицы SOD Рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе Основные мифы безопасности бизнес-приложений
- 11. Итоги © 2002—2010, Digital Security 11 Основные мифы безопасности бизнес-приложений С одной стороны: Бизнес-приложения являются основной всего бизнеса компании С другой стороны: На лицо тотальное недоценивание как производителями, так и потребителями вопросов, связанных с информационной безопасностью бизнес-приложений
- 12. Статистика уязвимостей в популярных бизнес-приложениях за 20 09 год © 2002—2010, Digital Security 12 Основные мифы безопасности бизнес-приложений Всего опубликовано Обнаружены Digital Security Опубликованы Digital Security SAP 14 11 7 Oracle 114 12 5 За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе: за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей ; за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей . Из них 37 было опубликовано.
- 13. Пример проникновения в корпоративную сеть через приложение © 2002—2010, Digital Security 13
- 14. Проникновение в SAP © 2002—2010, Digital Security 14
- 15. Распространение прав © 2002—2010, Digital Security 15
- 16. Итоги проникновения © 2002—2010, Digital Security 16 Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак! В ходе проникновения были использованы только уязвимости SAP систем Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP
- 17. Вопросы © 2002—200 9 , Digital Security 17 Наши ресурсы: www.dsec.ru www.dsecrg.ru www.pcidss.ru Основные мифы безопасности бизнес-приложений