`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Зачем необходимо защищать ERP-систему и как это сделать

+33
голоса

Зачем необходимо защищать ERP-систему и как это сделать

Использование ERP-систем уже стало стандартом для крупного бизнеса. Именно система управления ресурсами создает единое информационное пространство внутри компании, позволяя оптимизировать и ускорить производственные и бизнес-процессы. Поэтому неудивительно, что ERP-cистемы все чаще становятся мишенью злоумышленников.

Предугадать, каким будет ущерб от таких атак, сложно, но очевидно, что может дойти и до остановки бизнеса — ведь нападения на корпоративные информационные системы совершаются не столько с целью хищения денег, сколько ради победы над конкурентами. По данным Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего кибершпионажа составили порядка 7% их оборота.

За последние 5 лет бизнес смог окончательно убедиться, что матрица SoD — не панацея в защите ERP-систем: специалисты по обеспечению безопасности SAP представили достаточно данных о различных атаках и на протокол обмена данными RFC, и на систему разграничения доступа SAProuter, и на веб-приложения SAP, и на клиентские рабочие станции под управлением SAP GUI... Слабым местом ERP-систем остаются и программы на встроенном языке ABAP, которые разрабатываются во многих компаниях для кастомизации системы управления ресурсами под различные бизнес-процессы. В них могут быть уязвимости, оставленные недостаточно квалифицированными разработчиками, и, что довольно распространено, — специальные программные закладки, дающие мошенникам доступ к данным.

ERP-системы являются удобной мишенью для атак еще и потому, что, как это не звучит парадоксально, но найти и использовать уязвимости в них гораздо проще, чем в ОС и браузерах.

Интерес к обеспечению безопасности ERP-систем возрастает и подогревается еще и тем, что в последнее время стал доступен ряд утилит для взлома SAP, которые существенно упрощают задачу злоумышленникам. Конечно же, в SAP не оставляют этот вопрос без внимания и ведут серьезную работу по защите систем. Как показывают данные исследования российской компании Digital Security, «Безопасность SAP в цифрах», корпорация значительно продвинулась в этой области: за 2009 г. было устранено около 100 уязвимостей в продуктах SAP, а за 2010 г. этот показатель составил. По состоянию на май ткущего года насчитывалось более 2600 SAP security notes — уведомлений об уязвимостях в тех или иных компонентах SAP.

Другие производители ERP-систем также активно занимаются проблемами безопасности. Однако, согласно отчету Digital Security об уровне защищенности Oracle PeopleSoft (а это решение работает более чем в 6000 организаций, в том числе в 57 компаниях списка Fortune 100), уязвимости в системе позволяли злоумышленникам получить персональные данные более чем 20 миллионов граждан. Большая часть упомянутых в отчете проблем была оперативно исправлена Oracle, но это не означает, что безопасность данных гарантирована. Дело в том, что пользователи ERP-систем и сами невольно содействуют мошенникам, годами забывая об обновлениях и настройках для оперативного устранения уязвимостей.

Очевидно, что для комплексного решения перечисленных проблем необходим специализированный продукт. Компания «Техносерв Украина», являясь Золотым Партнером Digital Security в Украине, обладает значительным опытом внедрения ERP-систем на платформе SAP. «Техносерв Украина» представляет на украинском рынке систему мониторинга безопасности SAP ERPScan Security Monitoring Suite, разработанную ERPScan, дочерней компанией Digital Security. Этот инновационный продукт позволяет не только комплексно анализировать защищенность платформы SAP и ее соответствие стандартам, но и производить регулярный мониторинг безопасности системы в целом.

Основное преимущество ERPScan для бизнеса заключается в том, что это решение помимо выполнения своих основных функций по защите ERP-системы еще и позволяет снизить ее TCO (совокупную стоимость владения) — за счет уменьшения затрат на подготовку к аудиту и на обучение персонала.

SAP ERPScan быстро разворачивается и интегрируется в любую сеть. Решение позволяет всего за 5 минут проверить базовые настройки безопасности SAP и, к тому же, предоставляет множество тонких настроек и поддержку многопользовательской работы. Для разных систем можно создавать индивидуальные профили сканирований, группировать системы по любым критериям — например, по типу или по территориальному расположению, — назначать расписание сканирований, что позволяет централизованно управлять безопасностью SAP-систем.

Система состоит из ядра и функциональных модулей: «Аудит», «Анализ безопасности ABAP-кода» и «Segregation of Duties». Возможности ERPScan планомерно расширяются, охватывая все больше компонентов и модулей SAP-систем, обеспечивая детализацию проверок и увеличивая их количество, а также предоставляя возможности удобного доступа к данным.

Зачем необходимо защищать ERP-систему и как это сделать

ERPScan получает данные из SAP при помощи коннекторов, то есть интерфейсов доступа к различным компонентам системы — собранная информация и позволяет судить о наличии уязвимостей. Система имеет коннекторы для различных источников данных, в том числе приложений SAP NetWeaver ABAP и SAP NetWeaver Java и многих других. Необходимость использования тех или иных коннекторов определяется автоматически, а также может быть задана принудительно при создании проекта. Сканирование приложений можно осуществлять через защищенное соединение SSL, если сервер его поддерживает. Полученные данные обрабатываются в компонентах управления и представляются пользователю в удобном для восприятия виде: отчетность, графики метрик, анализ на соответствие стандартам, анализ рисков и прочее.

Зачем необходимо защищать ERP-систему и как это сделать

С учетом актуальности и значимости проблем безопасности ERP-систем для бизнеса, важно не просто предложить решение, но и показать его эффективность. В случае ERPScan подтверждением эффективности является уже тот факт, что продукт обладает статусом SAP Certified — Integration with SAP Applications и рекомендован для применения корпорацией SAP AG.

ERPScan готов на практике доказать, что безопасность критично важного для бизнеса ресурса, ERP-системы, — достижима.

Детальную информацию о решении SAP ERPScan Security Monitoring Suite вы можете получить в компании «Техносерв Украина»:

Тел.: +38 (044) 391-1139
e-mail: ukraine@technoserv.com

Зачем необходимо защищать ERP-систему и как это сделатьСтатья опубликована на правах рекламы.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT