Ранее считалось, что системы, где все вычисления происходят в оперативной памяти, не только имеют высокое быстродействие, но и надежно защищены от атак извне, потому что информация не хранится на дисках и прочих носителях. Но это лишь теория, на практике же данные сохраняются на дисках. Таким образом происходит их резервирование для восстановления работы системы после сбоев.
Хранится в файле на диске и такая критичная информация, как технические учетные записи и пароли. Естественно, вся она зашифрована. Но при этом, как показало исследование Digital Security, ни один из опрошенных пользователей SAP HANA не менял в ходе установки данного комплекса заводской ключ. В результате расшифровка информации становится относительно простой задачей даже для не очень квалифицированного злоумышленника.
А 12 июня Digital Security обнародовала результаты своего семилетнего исследования безопасности продуктов SAP (http://dsec.ru/ipm-research-center/research/analysis_of_3000_vulnerability_in_sap/). Оно показало, что SAP — более уязвимая платформа, чем принято считать. Общее число выявленных прорех в защите превысило 3000. В новых продуктах, в частности HANA, их количество пока невелико, но оно растет очень высокими темпами.
В целом же число выявляемых уязвимостей по сравнению с 2010 годом сократилось вдвое. При этом до 70% прорех в защите выявляется сторонними организациями, тогда как пять лет назад на них приходилось лишь 10%.
Основная специфика безопасности связана с тем, что SAP – сложная и запутанная система и в её защите значительная роль отводится администраторам. В результате проблемы, связанные с ошибками конфигурации, в пять раз популярнее для SAP, чем для продуктов других компаний. При этом количество уязвимостей, обусловленных повреждением памяти, намного (в семь раз) меньше, чем у остальных производителей.
Александр Поляков так прокомментировал результаты данного исследования: «В каждом отдельном продукте SAP в течение года находится разное количество уязвимостей. Для некоторых новых платформ, таких, например, как HANA, процент проблем стремительно растет с каждым годом, в то время как для платформы JAVA он остается почти неизменным. В случае же со старыми платформами, включая ABAP, можно наблюдать даже некоторое снижение. Существенно сокращается количество уязвимостей и внутри клиентских приложений, особенно в сравнении с 2010 годом, когда мы впервые стали их изучать. С точки зрения безопасности SAP можно выделить ряд исключительных моментов. Например, такие уязвимости, как повреждение памяти (Memory Corruption), в том числе переполнение буфера, в мире являются самыми распространенными (порядка 14% всех проблем), а для SAP они составляют лишь 2%, причем менее половины из них могут быть использованы для выполнения произвольного кода и встречаются в основном в клиентских приложениях. В то же время количество ошибок, связанных с конфигурацией, составляет 11% всех проблем SAP-безопасности, а для остального мира этот показатель достигает всего 2%».
Вместе с тем стоит иметь в виду, что уязвимости есть не только у SAP, но практически у всех вендоров бизнес-ПО. Это тот самый случай, когда здоровых нет, а есть лишь недообследованные. Однако рецепт будет общим. У всех основных поставщиков бизнес-ПО имеются руководства по безопасности. И их использование позволяет закрывать большинство отмеченных выше уязвимостей. Стоит также внедрять средства разграничения прав пользователей. Наконец, вполне можно полностью уйти от защиты паролем. Смарт-карты, токены, биометрические средства являются вполне надежными, не слишком дорогими и не так уж сложно внедряемыми инструментами.
Комментарий Дмитрия Шепелявого, заместителя генерального директора «SAP СНГ»
Вопрос уязвимости программного обеспечения является весьма актуальным. Обсуждается в том числе и технологичное решение для обработки информации в оперативной памяти SAP HANA. Очередной дырой для злоумышленников назван тот факт, что заказчики SAP HANA не меняют статический мастер-ключ и в каждой инсталляции платформы по всему миру он один и тот же. Однако данное утверждение не соответствует действительности, поскольку руководство по безопасности SAP HANA требует от системных администраторов, чтобы те генерировали свои собственные мастер-ключи.
Более того, надо отметить, что постоянный мониторинг потенциально уязвимых компонентов SAP-систем представляет очевидную и чрезвычайно важную задачу, закрепленную регламентами компании в комплексе с другими методами и технологиями разработки защищенного и безопасного ПО на протяжении всего его жизненного цикла. При этом используются внешние и внутренние сканеры безопасности и сервисы аудита безопасности, предоставляемые компанией SAP. К примеру, Configuration Validation, входящий в SAP Solution Manager 7.0 и выше, отслеживает критичные настройки безопасности внутри системы SAP и автоматически рассылает уведомления о тех изменениях, которые могут сделать систему уязвимой. Кроме того, Solution Manager постоянно проверяет и анализирует наличие в системе последних патчей безопасности (security notes), известных на определенный момент времени, и эта информация никогда не будет полностью раскрыта сторонним компаниям. Таким образом достигается широчайший охват вопросов безопасности, которые могут быть найдены и исправлены в любой инсталляции решений SAP.