Лента новостей 677

Поиск и анализ уязвимостей в SAP-системах – итоги 2014 года

Компания Digital Security, специализирующаяся на анализе защищенности систем, представляет итоги исследовательской работы в области аудита SAP-систем в 2014 году.

Специалисты Digital Security уже не один год сотрудничают с корпорацией в сфере поиска и анализа уязвимостей. В 2014 году 15% всех уведомлений об уязвимостях, полученных SAP от внешних аудиторов, поступило от команды исследователей Digital Security. В частности, эксперты нашей компании отправили 56 сообщений о найденных проблемах безопасности SAP-систем, 17 из которых было закрыто вендором. Наиболее опасными из них признаны следующие: уязвимость удаленного выполнения команд в SAP ABAP VM (service.sap.com/sap/support/notes/2059734), уязвимость удаленного выполнения команд в SAP Spool System (service.sap.com/sap/support/notes/2061271), уязвимость, которая может привести к отказу в обслуживании SAProuter (service.sap.com/sap/support/notes/2037492), уязвимость выполнения команд ОС в SAP CTC  (service.sap.com/sap/support/notes/1963100), уязвимость внедрения операторов SQL в SAP HANA service.sap.com/sap/support/notes/2067972.

Данные исследования помогают нам постоянно держать продукт собственной разработки - систему мониторинга безопасности SAP ERPScan - в актуальном состоянии, и наполнять его уникальными проверками в кратчайшие сроки. Кроме того, наша команда исследователей анализирует все уязвимости SAP на предмет критичности и прогнозирует возможное влияние на бизнес в случае их эксплуатации. Основываясь на этих данных, уникальный функционал нашего решения сканирует SAP-системы на наличие проблем методами черного и белого ящика. Далее, эта информация дополняется множественными метриками и критериями, а также собственной базой знаний из 10 тыс. проверок, позволяя в разы сократить время, затрачиваемое администраторами на анализ и закрытие уязвимостей. Мы стремимся не только защитить бизнес от различных угроз, но и оптимизировать затраты на обеспечение безопасности”, – отметил Александр Поляков, технический директор DigitalSecurity.

В июне 2014 года эксперты Digital Security опубликовали обзор 3000 уязвимостей платформы SAP. Полная версия исследования размещена на сайте: dsec.ru/ipm-research-center/research/analysis_of_3000_vulnerability_in_sap/

Обо всех находках в процессе аудита и проблемах безопасности SAP исследователи компании Digital Security регулярно рассказывают на крупных международных конференциях, посвященных информационной безопасности. В частности, за указанный период эксперты Digital Security представили 11 выступлений на эту тему в рамках NullCon 2014, Troopers 2014, Confidence, Nordic Management Conference 2014, InfoTech 2014, HackInParis 2014, RSA APAC 2014, PasswordsCon, ISSE 2014, Sector, CISOPlatform в разных странах мира.

Кроме того, исследовательская группа SAP компании Digital Security регулярно готовит различные исследования, обзоры, руководства, посвященные проблемам безопасности SAP-систем, публикует их на тематических ресурсах на русском и английском языках. За минувший год было размещено более 20 таких материалов.


© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2014