Nedávno se rozšířily zprávy o tom, že byl obviněn čínský výrobce z manipulace s firmwarem ručních skenerů. Tento software obsahoval škodlivý kód zaměřený na zdroje v dodavatelských řetězcích a sbíral data z platforem ERP (Enterprise Resource Planning). Shromažďoval vše, co mohl – od finančních údajů přes logistické až po informace o zákaznících.
Takové útoky odhalují slepou skvrnu, kterou má většina organizací v oblasti zabezpečení. Tento atak objevila bezpečnostní firma TrapX a nazvala ho Zombie Zero. Mnoho organizací napadených tímto typem přitom používalo všechny nejnovější a nejlepší bezpečnostní obranné nástroje, jež ale byly nasazené a navržené k odhalování vnějších hrozeb – tedy nikoli útoku ze skeneru produktů používaného v expedičním oddělení.
„Zombie Zero začal z hardwaru zakoupeného a nasazeného uvnitř napadené infrastruktury a nenapadal operační systémy. Namísto toho se zaměřil přímo na systémy ERP,“ uvedl Mariano Nunez, výkonný ředitel společnosti Onapsis.
„Nešťastnou skutečností je, že hackeři jsou krok před většinou podniků, protože jen málo organizací má zralé bezpečnostní metody pro sledování ataků vůči systémům ERP jako třeba SAP, nemluvě o plánovitém zahrnutí těchto systémů do programů správy zranitelností,“ dodává Nunez.
Názorný příklad – Microsoft vydal v loňském roce varování týkající se trojského koně z rodiny malwaru Carberp, který se zaměřoval na systémy SAP. Ve svém oznámení uvedl, že je to podle nich poprvé, co byl malware vytvořený tak, aby se zaměřil právě na tuto platformu.
To podle Nuneze znamená, že útočníci identifikovali bohatý cíl uvnitř organizací: platformy ERP, které v sobě zahrnují všechna kritická data a procesy příslušné společnosti.
„V tomto případě se malware k cíli propašoval pomocí skenovacího zařízení. Příště by však mohl být trojský kůň v tiskárně, směrovači, přístupovém bodu nebo v nějakém dalším zařízení, které většina lidí považuje za neškodné,“ tvrdí Nunez.
Pokud je ochrana systémů ERP a platforem SCM (správa dodavatelského řetězce) tak důležitá, proč organizace nedokážou tyto systémy kontrolovat a zabezpečit na stejné úrovni, jako tak činí u koncových bodů a dalších systémů v síti?
„Pravdou ale je, že to není jednoduché,“ vysvětluje Nunez a dodává: „Existuje zde celá řada problémů.“
Dokonce i v hodně vyspělých organizacích systémy ERP vyrostly organicky prostřednictvím jednotlivých obchodních jednotek, které integrovaly do jádra své vlastní i externí systémy prostřednictvím akvizic.
Pochopení skutečného rozsahu a vzájemného propojení těchto systémů je tedy významný úkol.
Také protokoly používané těmito systémy jsou často proprietární, což znamená, že tradiční systémy IDS a další technologie nedokážou komunikaci mezi těmito systémy porozumět a rozlišit nezávadný provoz od škodlivého.
Možná opatření
Podle názoru Nuneze je klíčovým bezpečnostním opatřením pro tyto systémy koncept oddělení funkcí (SoD, Segregation of Duties).
Většina plánů zabezpečení pro platformy ERP a SCM se zaměřuje na omezování přístupových práv operátorů na funkce, které jsou pro plnění jejich úkolů nezbytné. Cílem je zajistit, aby se žádný jednotlivý uživatel nemohl dopustil podvodu nebo zneužít systém. Ačkoli má SoD svou důležitost, řeší jen jednu část rovnice zabezpečení.
Ignoruje totiž možnost, že by neověřená osoba (útočník) mohla zneužít zranitelnosti a chyby konfigurace a zadávat příkazy a instrukce mimo proces řízený prostřednictvím SoD. „S ohledem na tyto typy potíží je pochopitelné, že se organizace snaží zajistit kompletní zabezpečení svých systémů ERP,“ uvádí Nunez.
Na otázku, co by tedy doporučil, Nunez nabízí pět věcí, které by organizace měly u systémů ERP a SCM vzít v úvahu:
- Pokládejte si otázky o systémech, které zpracovávají a ukládají základní podniková data
Co jsou zač? Kde jsou? Jak jsou přístupné a kým? Zajistěte identifikaci a kategorizaci každého systému zapojeného do kritické činnosti.
- Vybudujte program pro správu zranitelností systémů ERP
Tento program by měl používat klíčové metriky a hlášení o úrovni zabezpečení a změnách v oblasti zabezpečení s alespoň měsíční periodou.
- Mapování zranitelností a možností útoků
Zranitelnosti kritických systémů ERP a možnosti útoků na ně by se měly pravidelně mapovat. Frekvence takového procesu by měla přímo odpovídat důležitosti ukládaných dat pro podnik.
- Zajistěte situační informovanost o úrovni rizika v reálném čase pro všechny základní podnikové systémy
Pomocí skenerů zranitelností, monitoringu provozu a analýzy chování uživatelů v reálném čase by měla oddělení zabezpečení informací dokázat hlásit aktuální stav ochrany a hrozeb pro hlavní podnikové systémy.
Aby bylo možné finančním ředitelům přesně hlásit riziko pro organizaci, měly by se formulovat bezpečnostní situace a aktuální stav rizika s ohledem na hlavní podnikové systémy.
- Vytvořte základnu pro zabezpečení a poměřujte systémy vůči ní:
Jakákoli odchylka směrem k nižší ochraně dat by se měla prošetřit a příčina identifikovat. Navíc by měl bezpečnostní tým dokázat určit, jak se snížila ochrana systému a kdy a jak dlouho byl v nezabezpečeném stavu předtím, než se to objevilo.
„Lidé tradičně používají obranné technologie s mnoha parametry na základě předpokladu, že útok přijde z vnější strany sítě. Díky úspěchům phishingových útoků, atakům typu drive-by a nových hrozeb, v rámci které může být libovolný hardware s běžícím softwarem místem kompromitování dat, se podniky přestanou starat o místo, odkud útok pochází, a namísto toho se zaměří na to, co je v jejich prostředí kritické a mohlo by být terčem zájmů hackerů,“ popisuje Nunez.
Základem takového přístupu je snížit pravděpodobnost úspěšnosti útoku. Když je však atak úspěšný, měl by ho bezpečnostní tým rychle identifikovat a výrazně omezit jeho dopady. Proto je nutné mít důležité podnikové systémy dobře prozkoumané a aktivně monitorované.
PŘEDPLATNÉ
ČLÁNKY DO MAILU