Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security
© , Digital Security Основные мифы безопасности бизнес-приложений Digital Security 2 Обеспечение безопасности корпоративных бизнес-приложений это одна из важнейших задач современного бизнеса
© , Digital Security Миф 1. Бизнес-приложение является внутренним значит у нас не может быть проблем из сети Интернет 3 Взгляд с точки зрения бизнеса: Наиболее характерен для внутренних корпоративных ERP систем Бизнес наивно полагает, что ERP система не подключена к Интернет бизнес давно вышел за рамки внутренней среды Интеграция с удаленными офисами Интеграция с партнерами, поставщиками, закупщиками Практически все системы класса ERP так или иначе предоставляют доступ из сети Интернет Даже если приложение внутреннее, то вовсе не означает, что в него невозможно проникнуть из Интернета Основные мифы безопасности бизнес-приложений
© , Digital Security Миф 1. Бизнес-приложение является внутренним значит у нас не может быть проблем из сети Интернет 4 Взгляд с технической точки зрения: 1.Проще атаковать пользователей Связь соц. инженерии с программными уязвимостями в популярных браузерах в ERP системах Существует возможность, позволяющая проникнуть в ИС компании, с целью передачи критичных данных из SAP системы через уязвимости клиентских утилит SAP 2.Если к ERP системе предусмотрен доступ из Интернет Аналогично любой другой доступной в Интернет системе Множество уязвимостей, присущих веб-приложениям Основные мифы безопасности бизнес-приложений
© , Digital Security Миф 2. Безопасность бизнес-приложений это проблема производителя 5 Следует четко понимать, что безопасность приложения это проблема бизнеса, никоим образом не имеющая отношения к производителю Основные мифы безопасности бизнес-приложений С каких пор производитель несет ответственность за инциденты? Производитель продает лицензию его ответственность явно указана в лицензионном соглашении Вопросы безопасности не являются конкурентным преимуществом
© , Digital Security 6 Миф 2. Безопасность бизнес-приложений это проблема производителя Основные мифы безопасности бизнес-приложений 1.Программные ошибки 2.Архитектурные ошибки 3.Ошибки конфигурации 4.Проблемы человеческого фактора Проблемы безопасности: { { производитель администратор разработка и администрирование } }
© , Digital Security Миф 3. Бизнес-приложения плохо изучены значит нам ничего не грозит 7 Взгляд с точки зрения бизнеса: часто располагаются внутри корпоративной сети разработчики, думают что их система является внутренней (миф 1), сложной и недоступной и не обращают внимания на вопросы обеспечения безопасности Основные мифы безопасности бизнес-приложений Безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС и ПО
© , Digital Security Миф 3. Бизнес-приложения плохо изучены значит нам ничего не грози т 8 Взгляд с технической точки зрения: В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров В итоге популярные приложения так или иначе становятся безопаснее Внутренние бизнес-приложения закрыты для посторонних глаз Иллюзия защищенности «безопасно, потому что засекречено» Как только внутренние бизнес-приложения попадают во внешнюю сеть, или злоумышленник сталкивается с ними, то иллюзии исчезают За время работ по анализу защищенности различных специфичных бизнес- приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах Основные мифы безопасности бизнес-приложений
© , Digital Security Миф 4. Безопасность ERP это матрица SOD. У нас есть SOD у нас нет проблем с безопасностью 9 Взгляд с точки зрения бизнеса: Самый типовой и крайне опасный миф: безопасность ERP = матрица SOD Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом? ERP система только с матрицей SOD = дорогие стальные ворота с дорогой современной системой контроля доступа и видеонаблюдения, установленные в чистом поле Основные мифы безопасности бизнес-приложений
© , Digital Security Миф 4. Безопасность ERP это матрица SOD. У нас есть SOD у нас нет проблем с безопасностью 10 Взгляд с технической точки зрения: Необходимо рассматривать различные уровни: Сетевой уровень Уровень операционной системы Уровень СУБД Уровень самого бизнес-приложения или ERP-системы Уровень дополнительных компонентов и веб-приложений Уровень клиентских компонентов ERP-системы Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы, даже в случае идеально настроенной матрицы SOD Рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе Основные мифы безопасности бизнес-приложений
© , Digital Security Итоги 11 Основные мифы безопасности бизнес-приложений С одной стороны: Бизнес-приложения являются основной всего бизнеса компании С другой стороны: На лицо тотальное недоценивание как производителями, так и потребителями вопросов, связанных с информационной безопасностью бизнес-приложений
© , Digital Security Статистика уязвимостей в популярных бизнес-приложениях за 2009 год 12 Основные мифы безопасности бизнес-приложений Всего опубликовано Обнаружены Digital Security Опубликованы Digital Security SAP Oracle За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе: за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей; за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.
© , Digital Security Пример проникновения в корпоративную сеть через приложение 13
© , Digital Security Проникновение в SAP 14
© , Digital Security Распространение прав 15
© , Digital Security Итоги проникновения 16 Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак! В ходе проникновения были использованы только уязвимости SAP систем Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP
© , Digital Security Вопросы 17 Наши ресурсы: Основные мифы безопасности бизнес-приложений