Согласно аналитическому отчету, подготовленному специализирующейся в области информационной безопасности фирмой Onapsis, свыше 95% компаний, использующих платформу бизнес-приложений SAP, оказываются уязвимыми перед злоумышленниками, которые могут скомпрометировать их системы, используя своевременно непропатченные бреши в защите ПО.

По результатам анализа, основанного на сотнях проведенных фирмой экспертных оценок, выявлены три общих направления использования уязвимости систем SAP для компрометации бизнес-систем. Во-первых, злоумышленники, желающие взломать корпоративные системы SAP, часто создают новых пользователей в подсистеме управления пользователями Java-приложений, чтобы получить доступ к внутренним системам. Во-вторых, они используют дефекты проприетарных протоколов для изменения бизнес-информации и, в-третьих, эксплуатируют соединения между системами для перехода от менее защищенного к более защищенному SAP-компоненту.

«Дыры в системе безопасности возникают каждый день, но еще очень многие директора по информационной безопасности об этом не знают, потому что внутреннее функционирование SAP-приложений для них не прозрачно», — заявил Мариано Нунез, CEO и сооснователь Onapsis.

Системы SAP сегодня используют более 290 тыс. компаний для автоматизации бизнес-процессов, а также сбора данных и метрик под задачи бизнеса. SAP и конкурирующая с нею Oracle концентрируют внимание на анализе операционных данных в целях более отлаженного функционирования бизнеса.

При этом вопреки маркетинговой кампании SAP, проводимой под девизом «Run Simple», реальные внедренные SAP-системы зачастую очень сложны. А поскольку такие системы, как правило, критически важны для бизнес-операций, компании неохотно обновляют свои серверы приложений. В результате большинство компаний устанавливают обновления ПО с запозданием на полтора года и более несмотря на то, что ежегодно выпускаются сотни патчей (только в 2014 г. их было 391), сообщает Onapsis.

Хотя почти половина патчей была помечена SAP как высоко приоритетные, «реальность заключается в том, что большинство из них не связаны с безопасностью, либо являются запоздалыми или создают добавочные операционные риски», отмечает Нунез. Согласно вышедшему в апреле отчету HP Cyber Risk Report, в 2014 г. SAP заняла четвертое место в списке вендоров с наибольшим количеством уязвимостей после Microsoft, HP и Advantech.

По словам Нунеза, объектом большого числа патчей стала HANA, платформа SAP нового поколения для приложений и аналитики. «Поскольку SAP HANA позиционируется в качестве центрального элемента экосистемы SAP, данные, используемые платформами SAP, должны быть обязательно защищены и в облаке, и на локальной площадке заказчика», — добавил он.

Onapsis рекомендует пользователям SAP-систем осуществлять постоянный мониторинг и техническое обслуживание своих систем, как можно быстрее устанавливая программные патчи.