ERPScan – Osiguravanje SAP i Oracle Enterprise poslovnih aplikacija


U ovom intervjuu s Aleksandrom Polyakovom, osnivačem i CTO-om ERPScan-a, razgovaramo o relativno novom, ili barem relativno nepoznatom obliku detekcije sigurnosne ranjivosti. Kako objašnjava Alexander, tradicionalni alati za ranjivost zapravo ne bave poslovnim aplikacijama kao što su SAP, PeopleSoft ili druge poslovne poslovne aplikacije. Umjesto toga, oni se usredotočuju samo na krajnje točke, baze podataka, operativne sustave i mreže.

Osim što opisuje sigurnosne skupove praćenja sigurnosti za SAP i PeopleSoft, Alexander dijeli i najkritične i neke druge "zanimljive" SAP ranjivosti, kao i kako vidi budućnost na polju cyber-sigurnosti.

Što ste radili prije nego što ste osnovali ERPScan?

Studirao sam sigurnost na sveučilištu, a zatim sam otišao raditi u zaštitarskoj tvrtki, gdje sam proveo oko pet godina radeći testiranje prodora na velikim sustavima. Bio sam mlad i bio je cool osjećaj da mogu upasti u bilo koji sustav u koji sam pokušao ući.

Nakon pet godina, želio sam ne samo ukazati na ranjivosti, već sam htio zapravo pomoći ljudima da se riješe i spriječe te potencijalne napade. U tom sam trenutku imao puno iskustva sa sigurnošću baze podataka Oracle i čak sam napisao knjigu o tome.

Tijekom jednog od mojih projekata sigurnosne procjene, prvi put sam otkrio SAP. Vrlo brzo sam saznao da gotovo da nema podataka o SAP sigurnosti i ranjivosti. Tada sam šokirao upravljanje time što sam uspio provaliti u SAP sustav za manje od 15 minuta! Nastavio sam istraživati ​​SAP sigurnost i nakon dvije godine bavljenja SAP-ovom sigurnosnom procjenom, shvatio sam da je broj ranjivosti toliko velik da smo morali automatizirati proces.

Također ste predsjednik organizacije koja se zove EAS-SEC - što je to točno?

EAS-SEC je projekt sigurnosti aplikacija poduzeća. To je projekt sličan OWASP (Open Security Security Project), osim što se EAS-SEC fokusira na poslovne aplikacije. Prvobitno je bio dio OWASP-a, ali budući da ima različite potrebe, podijelio se u zasebnu skupinu.

Vaš je sigurnosni proizvod neobičan po tome što cilja jednu specifičnu aplikaciju. Zašto ste se odlučili na takav pristup?

Kao što sam spomenuo, bio sam izuzetno šokiran što je tako veliki, kritički sustav bio toliko ranjiv. Tradicionalni alati za ranjivost doista se ne bave aplikacijama - usredotočeni su na baze podataka, operativne sustave i mreže. Međutim, konačni cilj napadača, a što oni stvarno Želite, je pristup stvarnim podacima. Ulazak u krajnje točke, mreže i baze podataka samo je sredstvo do postizanja cilja. Odlučili smo se usredotočiti na i zaštititi najvažnije sredstvo - same podatke.

Dajte mi pregled ERPScan sigurnosnog nadzornog paketa za SAP.

Većina alata za ranjivost ne testira ni SAP. Naš sigurnosni nadzorni paket rješenje je koje obuhvaća tri glavna sigurnosna problema aplikacije koja tradicionalni sigurnosni proizvodi ne rješavaju. Ovo smo rješenje dizajnirali tako da, iako je specifično za aplikaciju, lako ga razumije i koristi sigurnosno osoblje, a ne samo SAP programeri i administratori. SAP događaje prenosimo na jezik koji osoblje sigurnosti razumije.

Naš proces započinje skeniranjem, nadzorom i generiranjem osnovnih izvještaja. Korak dalje od toga je što pružamo više analitike i analize trendova. Ako je poduzeće instalirano više SAP sustava, mapiramo kako su povezani.

Na kraju, pokušavamo automatizirati postupak sanacije. Trenutno nudimo mogućnost automatske korekcije ranjivosti u izvornom kodu generiranjem potrebnog koda.

erpscan blagodati

Koja su tri glavna sigurnosna pitanja na SAP?

Tri glavna sigurnosna područja na koja smo se fokusirali su:

  1. Podjela dužnosti - Jedan korisnik obično ne bi trebao biti u mogućnosti izvesti dvije različite kritične radnje u sustavu (npr. Stvoriti dobavljača i stvoriti nalog za plaćanje).
  2. Sigurnost platforme aplikacije - To su ranjivosti same platforme, uglavnom sve vrste pogrešnih konfiguracija.
  3. Pitanja prilagodbe - SAP je okvir i tvrtke grade softver iznad njega. Mnoge operacije na niskoj razini mogu se izvesti pomoću programskog jezika SAP ABAP. Te je ranjivosti teško otkriti čak i sa automatskim alatima.

Možete saznati više o stanju SAP ranjivosti i napada u ovoj prezentaciji:

Vaše web mjesto također puno govori o Oracleu i PeopleSoft-u. Imate li i vi proizvode za te platforme?

SAP je vodeća tvrtka u poslovnom prostoru aplikacija, ali prošle godine smo također objavili verziju našeg alata za Oracle PeopleSoft. Tržište proizvoda PeopleSoft još je uvijek u povojima - trebalo nam je sedam godina da izgradimo tržište za naš SAP sigurnosni proizvod.

Što se tiče broja prihoda, trenutno je 90% SAP i 10% PeopleSoft, ali očekujem da će se to promijeniti kako tržište raste i sazrijeva.

Također nudite usluge testiranja i revizije sigurnosti. Da li oni čine značajan dio vaših prihoda? Kada i zašto vas organizacije uglavnom angažuju za te usluge?

Ponuda naših usluga malo se razlikuje od naših proizvoda. S našim uslugama istražit ćemo i analizirati gotovo sve poslovne aplikacije, uključujući komercijalne i prilagođene aplikacije. Ovi angažmani usluga čine oko 15% naših prihoda danas.

Ti angažmani su obično naš prvi susret s novim kupcima. Oni žele osigurati svoju SAP implementaciju, ali nisu sigurni u njihovu ranjivost. Rezultati našeg ispitivanja i revizije često će im pomoći da opravdaju troškove automatiziranih alata.

Nudimo i profesionalne usluge koje pomažu u podršci i upravljanju različitim procesima oko našeg stvarnog proizvoda. Obično veće tvrtke i instalacije odluče iskoristiti te usluge.

Pretpostavljam da imate vrlo specifično ciljno tržište za svoj proizvod.

90% naših kupaca prema veličini tvrtke su tvrtke Fortune 2000. Drugi parametar je taj da imaju instaliranu SAP ili PeopleSoft (ponekad i oboje).

erpscan konferencija

Koliko aktivnih kupaca imate danas? Gdje se uglavnom nalaze?

Trenutno imamo oko 130 kupaca, uglavnom velikih poduzeća. U pogledu lokacije:

  • 35-40% - SAD
  • 35-40% - Europa
  • Ostatak - Azija

Kako biste opisali svog trenutnog tipičnog kupca?

Konkretna vertikala ili industrija zapravo nam nisu bitni, iako imamo različite provjere za određene industrije.

Trenutno najpopularnije industrije za nas su:

  • Nafta i plin
  • Proizvodnja
  • Maloprodaja
  • Tehnologija

Tko su neki od vaših najvećih kupaca?

Ovdje je popis nekih od naših najvećih kupaca, uključujući Edeka, koja je najveća njemačka korporacija supermarketa.

erpscan klijentima

Vidite li trend više sigurnosnih proizvoda specifičnih za aplikaciju u narednim godinama?

Različita izvješća analitičara navode da je ERP (Enterprise Resource Planning) i sigurnost poslovnih aplikacija jedan od glavnih nadolazećih trendova. Ponovno ću naglasiti da se sigurnost poslovnih aplikacija jako razlikuje od sigurnosti tradicionalnih aplikacija, a to su uglavnom samo web stranice.

Koji su neki od drugih trendova ili promjena koje vidite na tržištu cyber-sigurnosti?

Očiti trend je da većina tvrtki pokušava otkriti napade na svoje sustave. Nažalost, većina ljudi se ne želi baviti stvarnim ranjivostima, jer je to puno posla. Umjesto toga, oni odlučuju samo reagirati na napade. Naravno, ovo nije najbolje rješenje! Tvrtke trebaju pokušati ukloniti što je moguće više ranjivosti tako da trebaju samo reagirati na nekoliko preostalih napada. Jednom kada ste napadnuti, već ste žrtva.

Kakvi su vaši planovi za ERPScan?

Naša prva tri kratkoročna cilja za ERPScan su:

  1. Razvijanje integriranog modula za otkrivanje napada
  2. Veći prodor na PeopleSoft tržište
  3. Proširenje poslovanja s profesionalnim uslugama

Koliko danas imate zaposlenih? Gdje se nalaze?

Danas imamo 55-60 zaposlenih. Sjedište i prodajna snaga su u Palo Altu s lokalnom prisutnošću u i Dallasu, Bostonu, dok je ostatak tima Amsterdam s R&D u Pragu. Imamo i prodajne i marketinške timove u Kopenhagenu i Sydneyu.

Koliko sati dnevno normalno radite? Što volite raditi kad ne radite?

U ranijim danima tvrtke radio sam dane 14 sati. Ja se sada trudim biti izuzetno fokusiran i raditi samo oko 8 sati dnevno.

Kad ne radim, uživam u različitim vrstama akcijskih sportova, kao što su surfanje, wakeboarding i vožnja motorom u trikima..

 

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me