Больше чем девяносто пять процентам компаний, делающих приложения SAP, не удается применить патчи к ПО на своевременный график, оставляя их уязвимыми для кибератак.Тогда как практически добрая половина патчей, где оценено как большой приоритет скрытно, «истина – то, что большая часть примененных патчей не связано с безопасностью, есть поздней либо воображает предстоящий операционный риск», сообщил Нуньес.Во-первых, атакующие, обращающиеся к корпорации нарушения совокупности SAP, будут довольно часто создавать новых пользователей в механизме управления для Java чтобы получить доступ к внутренним совокупностям.
Они также применяют сломанные личные протоколы для трансформации бизнес-связей и информации применения между совокупностями для спрыгивания с более низкой безопасности компонент SAP к компоненту увеличения уровня защиты.Результаты, основанные на сотнях оценок, проводимых компанией, нашли три неспециализированных вектора, через которые атакующие применяли уязвимости в совокупностях SAP, чтобы поставить под угрозу бизнес-совокупности.Наконец, ставя под угрозу более низкую совокупность безопасности, атакующие могут переместиться со стороны в сети к более критическим совокупностям, сообщил Онэпсис.
Все таки, не обращая внимания на «Выполненную Несложную» кампанию брендинга SAP, реализации SAP могут быть сверхсложными. Помимо этого, в силу того, что совокупности SAP имеют тенденцию быть критически серьёзными по отношению к бизнес-операциям, компании не решаются обновлять серверы приложений.Больше чем двести девяносто 000 компаний применяют совокупности SAP, чтобы автоматизировать их бизнес-процессы и собрать метрики и данные на бизнес-целях.
Компания и ее соперничающий Oracle, фокусируются на анализе рабочих данных для помощи бизнесу, ведомому более гладко.Атакующие также сфокусировались на управляющих и собственных коммуникациях компании протоколах для доступа к уязвимым данным в базе данных платформы.Больше чем девяносто пять процентов компаний, делающих платформу бизнес-приложения SAP, уязвимы для нарушений защиты благодаря неисправленных недостатков ПО, которые имели возможность разрешить атакующим ставить под угрозу собственные совокупности, компания безопасности, о которой Онэпсис сообщил в анализе, выпущенном шесть мая.Платформа SAP для приложений последнего поколения и аналитики, ХАНЫ, стала фокусом на громадном количестве патчей, по словам Нуньеса.
В две тысячи четырнадцать SAP занял место четвертый в перечне поставщиков с большинством уязвимостей, сзади Микрософт, HP и Advantech, согласно данным последнего HP Cyber Risk Report, высвобожденного в прошлом месяце.Онэпсис проанализировал эти от сотен оценок, проводимых компанией для нахождения лучших трех векторов нападений на совокупности SAP. Основной пример нападения складывался из создания тайных учетных записей в совокупности SAP для обработки пользователей Java и применения критических недостатков к получению доступа к вторым связанным совокупностям.
«С SAP ХАНА, размещенным в центр экосистемы SAP, эти, хранившие в платформах SAP сейчас, будут защищены и в облаке и на предпосылке», сообщил он.В следствии большинство исправления задержки компаний больше чем на восемнадцать месяцев, не обращая внимания на то, что много патчей выпускаются ежегодно триста девяносто один в две тысячи четырнадцать один, согласно данным Onapsis.«Нарушения происходят ежедневно, но все еще довольно много директоров по ИТ-безопасности не знают, в силу того, что у них нет видимости в их приложения SAP», Мариано Нуньес, CEO и учредитель Onapsis, заявленного.
Компания советовала, чтобы пользователи SAP всегда контролировали и обслужили собственные совокупности, применив патчи к ПО максимально скоро.