Pour une fraude \u00e9tendue un Agresseur<\/span> son Droits<\/span> dans les syst\u00e8mes SAP, se cr\u00e9e un faux sous-traitant, se fait une facture et ordonne le virement sur son propre compte.<\/p>\n Cela passe par l'extension des privil\u00e8ges d'un utilisateurComptes<\/span> - en neutralisant l'approche de s\u00e9curit\u00e9 sp\u00e9cifique \u00e0 SAP de la s\u00e9gr\u00e9gation des fonctions (SoD) : une s\u00e9paration des obligations ou des comp\u00e9tences peut certes \u00eatre efficace pour des S\u00e9curit\u00e9<\/span> en veillant \u00e0 ce que Droits<\/span> des collaborateurs du d\u00e9veloppement, de la production, de la planification et de la comptabilit\u00e9 soient soigneusement s\u00e9par\u00e9s.<\/p>\n Dans un cas contre lequel la CERT am\u00e9ricaine, proche du gouvernement, a mis en garde en mai 2016, une vuln\u00e9rabilit\u00e9 pouvant \u00eatre ferm\u00e9e depuis 2010 avec un patch Faille de s\u00e9curit\u00e9<\/span> toujours exploit\u00e9 dans les syst\u00e8mes SAP avec Invoker Servlet activ\u00e9.<\/p>\n Par cette br\u00e8che, on peut Agresseur<\/span> \u00e0 distance de nouvelles applications SAPUtilisateurs<\/span> avec des privil\u00e8ges d'administration via le navigateur web.<\/p>\n L'\u00e9cart a \u00e9t\u00e9 constat\u00e9 pour 36 entreprises - dont 13 r\u00e9alisaient un chiffre d'affaires annuel de plus de dix milliards d'euros.<\/p>\n L'attaque a vis\u00e9 des plates-formes Java SAP non mises \u00e0 jour ou mal configur\u00e9es. Le sabotage par la mise hors service d'applications SAP, voire d'un syst\u00e8me entier, est \u00e9galement dramatique.<\/p>\n Au printemps 2016, les personnes interrog\u00e9es dans le cadre d'une \u00e9tude du Ponemon Institute ont estim\u00e9 \u00e0 4,5 millions de dollars les dommages caus\u00e9s par la mise hors ligne d'une application, y compris tous les co\u00fbts de r\u00e9paration des dommages et les opportunit\u00e9s commerciales perdues.<\/p>\n Les couches de transaction - comme Hana ou NetWeaver - qui g\u00e8rent les informations commerciales et les processus ainsi que l'acc\u00e8s \u00e0 ces derniers, r\u00e8glent la communication entre les instances et sont responsables de leur fonctionnement, constituent des surfaces d'attaque pour les droits d'acc\u00e8s et les profils d'utilisateurs. S\u00e9curit\u00e9<\/span> par exemple par Cryptage<\/span> s'en occuper.<\/p>\n Aussi Comptes<\/span> et leurs autorisations sont g\u00e9r\u00e9es dans la couche de transaction \u00e0 l'aide de param\u00e8tres et peuvent \u00eatre g\u00e9r\u00e9es comme pour une Base de donn\u00e9es<\/span> changer. Agresseur<\/span> tentent, par ces acc\u00e8s, de contr\u00f4ler \u00e0 distance le trafic de donn\u00e9es, de lire, de copier, de d\u00e9placer ou d'\u00e9craser des r\u00e9pertoires de tout contenu.<\/p>\n Tous les param\u00e8tres des infrastructures SAP peuvent \u00eatre configur\u00e9s rapidement en saisissant des valeurs num\u00e9riques.<\/p>\n Les possibilit\u00e9s les plus diverses de Compte<\/span>-Administration<\/span> Les erreurs et les omissions sont rapidement source de complexit\u00e9 et augmentent le taux d'erreur.<\/p>\n Les risques sont li\u00e9s \u00e0 la personnalisation du logiciel SAP, au param\u00e9trage des utilisateurs et \u00e0 l'utilisation des donn\u00e9es. Gestion<\/span> Engine (UME) pour les syst\u00e8mes Java, qui est responsable de la recherche ou de la cr\u00e9ation de nouveaux utilisateurs, et par la liste de contr\u00f4le d'acc\u00e8s (ACL), qui r\u00e9git l'ouverture de session sur les serveurs et l'autorisation des programmes ou des connexions (reginfo, secinfo, Webdispatcher, Management Console, Message Server, ICM).<\/p>\n D'autres dangers existent lors de la configuration des r\u00f4les d'utilisateur et des param\u00e8tres d'utilisateur en g\u00e9n\u00e9ral (par exemple par le Sap_All-User \u00e0 autorisation universelle ainsi que les profils d'utilisateur pouvant accepter des connexions RFC) ou lors de configurations peu s\u00fbres des proc\u00e9dures d'authentification.<\/p>\n Les privil\u00e8ges \u00e9tendus rendent les utilisateurs dangereux. Si les donn\u00e9es d'acc\u00e8s ont \u00e9t\u00e9 divulgu\u00e9es ou si les proc\u00e9dures d'authentification ont \u00e9t\u00e9 contourn\u00e9es, l'utilisation de types d'utilisateurs s\u00e9curis\u00e9s peut toutefois constituer un deuxi\u00e8me rempart.<\/p>\n Une r\u00e8gle de base en mati\u00e8re de gestion des droits est donc d'utiliser un Utilisateurs<\/span> seulement avec le minimum de Droite<\/span> dont il a besoin pour accomplir sa t\u00e2che. L'utilisateur dit restreint, qui ne dispose d'aucun privil\u00e8ge particulier par d\u00e9faut, sur Bases de donn\u00e9es<\/span> n'acc\u00e8de que par le biais d'applications clientes et ne dispose pas d'un acc\u00e8s SQL complet devrait \u00eatre une norme de s\u00e9curit\u00e9.<\/p>\n Les utilisateurs standard qui, par d\u00e9faut, cr\u00e9ent leurs propres objets, peuvent lire les donn\u00e9es dans la vue syst\u00e8me et ont un r\u00f4le public, devraient \u00eatre \u00e9vit\u00e9s dans la mesure du possible. Leurs activit\u00e9s de connexion, de consultation et de transfert de donn\u00e9es doivent \u00eatre particuli\u00e8rement surveill\u00e9es.<\/p>\n Cela s'applique bien s\u00fbr aussi aux cas particuli\u00e8rement critiques Hana<\/span>-User : le adm user (o\u00f9 repr\u00e9sente la Hana<\/span>-), cr\u00e9\u00e9 au niveau du syst\u00e8me d'exploitation au cours du processus d'installation, fournit, sans protection, un identifiant de connexion \u00e0 la base de donn\u00e9es. Risque<\/span> de l'entreprise. Il dispose de privil\u00e8ges pour tous Hana<\/span>-ressources syst\u00e8me.<\/p>\n De nombreux fournisseurs de syst\u00e8mes placent le Mot de passe<\/span> pour ce Utilisateurs<\/span> pendant l'installation des syst\u00e8mes chez les clients. Il devrait \u00eatre modifi\u00e9 au plus tard apr\u00e8s la remise de l'infrastructure SAP.<\/p>\n D'autres Utilisateurs<\/span> sur l'environnement du syst\u00e8me d'exploitation, comme l'utilisateur root, l'utilisateur sapadm ou les profils d'utilisateurs cr\u00e9\u00e9s individuellement, doivent \u00eatre configur\u00e9s de mani\u00e8re s\u00fbre et surveill\u00e9s d'autant plus \u00e9troitement qu'ils disposent de privil\u00e8ges \u00e9tendus.<\/p>\n Les m\u00e9canismes d'urgence de SAP constituent une autre porte d\u00e9rob\u00e9e \u00e0 surveiller, pour laquelle on ne demande souvent pas d'identifiants. Avec le param\u00e8tre de profil login\/no_automatic_user_sapstar, un acc\u00e8s est disponible pour la r\u00e9solution simple des probl\u00e8mes, qui peut conduire \u00e0 la situation dangereuse. Porte d\u00e9rob\u00e9e<\/span> peut \u00eatre.<\/p>\n Si le super-utilisateur SAP* est ensuite supprim\u00e9, cet acc\u00e8s n'existe plus pour les utilisateurs auditables. Bases de donn\u00e9es<\/span>. Il n'est donc pas d\u00e9tect\u00e9 lors des audits traditionnels, mais il est connect\u00e9 au syst\u00e8me avec toutes les autorisations. En outre, le syst\u00e8me standardMot de passe<\/span> ne sont pas modifi\u00e9s. Le r\u00e9sultat en cas d'abus est la compromission soit d'un ou de plusieurs clients, soit d'un ou de plusieurs serveurs d'application, soit m\u00eame de l'ensemble du syst\u00e8me SAP.<\/p>\n La solution simple consiste \u00e0 ne jamais supprimer le super-utilisateur, \u00e0 sauvegarder en plus l'utilisateur SAP* et \u00e0 fixer la valeur login\/no_automatic_user_sapstar \u00e0 \"1\".<\/p>\n Mais les configurations non s\u00e9curis\u00e9es des proc\u00e9dures d'authentification constituent \u00e9galement un risque \u00e9lev\u00e9. Risque<\/span> de l'entreprise. Les scripts d'enregistrement automatique de mots de passe<\/span> dans l'interface utilisateur SAP GUI. Si elles sont param\u00e9tr\u00e9es en cons\u00e9quence, elles enregistrent les valeurs saisies dans le champ de connexion, et donc aussi les donn\u00e9es de l'utilisateur. Mots de passe<\/span> - mais aussi les donn\u00e9es d'utilisation des clients.<\/p>\n De telles attaques sont favoris\u00e9es par une trop faible Cryptage<\/span> lors de l'enregistrement des donn\u00e9es. De plus, l'historique des entr\u00e9es dans les champs de nom d'utilisateur est conserv\u00e9 pour chaque Utilisateurs<\/span> dans un fichier portant un nom uniforme, de sorte qu'un Pirate informatique<\/span> les trouve facilement. Pour plus S\u00e9curit\u00e9<\/span> assure le Protection<\/span> des saisies dans des champs de saisie obscurcis ou l'arr\u00eat de l'enregistrement des saisies pass\u00e9es.<\/p>\n Les \"raccourcis SAP\" constituent une autre lacune. Ici, ils d\u00e9finissent Utilisateurs<\/span> non seulement une adresse cible pour se connecter \u00e0 une instance SAP, la transaction \u00e0 y d\u00e9clencher et, dans certaines circonstances, l'inscription d'un nom d'utilisateur par d\u00e9faut.<\/p>\n Un raccourci d\u00e9fini ou contr\u00f4l\u00e9 par de mauvaises mains peut devenir une porte d'entr\u00e9e sur les syst\u00e8mes. Dans les anciennes plateformes de transaction, le danger \u00e9tait encore plus grand, car les raccourcis incluaient la saisie automatique de donn\u00e9es individuelles. Mots de passe<\/span> a pu \u00eatre int\u00e9gr\u00e9.<\/p>\n SAP a ajout\u00e9 ces options pour les nouveaux Mots de passe<\/span> c'est pourquoi il est d\u00e9sormais bloqu\u00e9. Pour les sites d\u00e9j\u00e0 existants Mots de passe<\/span> ce risque peut subsister.<\/p>\n Compte tenu de la complexit\u00e9 et de la dimension des probl\u00e8mes de configuration, il est presque impossible d'\u00e9viter les erreurs. Il convient toutefois de les trouver et de les corriger le plus rapidement possible.<\/p>\n Une solution de s\u00e9curit\u00e9 SAP efficace examine donc les erreurs de configuration et offre une protection en temps quasi r\u00e9el contre d'\u00e9ventuelles attaques.<\/p>\n L'inventaire des Failles de s\u00e9curit\u00e9<\/span> ne peut se faire que par des solutions d'\u00e9valuation automatis\u00e9es. Il est important de contr\u00f4ler en permanence l'\u00e9tat de s\u00e9curit\u00e9 de l'infrastructure SAP afin de d\u00e9tecter imm\u00e9diatement les nouveaux param\u00e8tres erron\u00e9s. Il s'agit non seulement de syst\u00e8mes productifs, mais \u00e9galement de Test<\/span>-car c'est l\u00e0 que se trouvent les donn\u00e9es utilisateur configur\u00e9es par d\u00e9faut et souvent oubli\u00e9es.Comptes<\/span>Les sites de rencontre sont des lieux o\u00f9 les visiteurs ind\u00e9sirables profitent de la situation.<\/p>\n Configurations de Comptes<\/span> ou les solutions d'authentification peuvent \u00eatre configur\u00e9es en fonction de diff\u00e9rentes directives (SAPPolitique de s\u00e9curit\u00e9<\/span>, PCI, SOX, NERC, Custom ou autres).<\/p>\n Une solution de d\u00e9tection et de d\u00e9fense contre les menaces donne ensuite, dans un premier temps, des instructions pas \u00e0 pas et donc rapides \u00e0 mettre en \u0153uvre pour corriger les failles.<\/p>\n Contre les menaces inconnues, qui sont \u00e9galement dues \u00e0 des risques li\u00e9s \u00e0 la configuration, les solutions offrent une protection en temps quasi r\u00e9el.Protection<\/span> en bloquant les attaques jusqu'\u00e0 ce qu'une SAP Security Note soit disponible \u00e0 cet effet.<\/p>\n En haut de la liste, il y a aussi une Surveillance<\/span> d'acc\u00e8s anormaux de collaborateurs internes.<\/p>\n Le d\u00e9veloppeur qui recourt soudainement ou \u00e0 des moments inhabituels \u00e0 des instances pour la comptabilit\u00e9 ne doit pas passer inaper\u00e7u et son Acc\u00e8s<\/span> \u00eatre bloqu\u00e9 le cas \u00e9ch\u00e9ant.<\/p>","protected":false},"excerpt":{"rendered":" Les processus commerciaux et les donn\u00e9es g\u00e9r\u00e9s par SAP sont une cible attrayante pour les pirates. Les attaquants externes et internes qui s'approprient les donn\u00e9es d'acc\u00e8s de tiers ou \u00e9tendent les autorisations peuvent acc\u00e9der aux donn\u00e9es et aux applications via les couches de transaction des syst\u00e8mes SAP mal configur\u00e9s ou \u00e0 risque.<\/p>","protected":false},"author":79,"featured_media":4256,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,1359,117],"coauthors":[22310],"class_list":["post-4240","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-onapsis","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",400,280,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-768x538.jpg",768,538,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-100x70.jpg",100,70,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-480x336.jpg",480,336,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-640x448.jpg",640,448,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-720x504.jpg",720,504,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-960x672.jpg",960,672,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",964,675,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" SAP-gesteuerte Gesch\u00e4ftsprozesse und Daten sind f\u00fcr Angreifer ein attraktives Ziel. Externe wie interne Angreifer, die fremde Zugangsdaten in Beschlag nehmen oder Berechtigungen ausweiten, k\u00f6nnen auf Daten und Anwendungen \u00fcber die Transaktionslayer von falsch oder riskant konfigurierten SAP-Systemen zugreifen.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Mariano Nunez, Onapsis","url":"https:\/\/e3mag.com\/fr\/author\/mariano-nunez\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/4240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=4240"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/4240\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/4256"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=4240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=4240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=4240"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=4240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Mariano](\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Mariano-Nun.jpg\" "\\"Target")
<\/a>Mais la s\u00e9paration peut aussi \u00eatre le fait de personnes tr\u00e8s privil\u00e9gi\u00e9es Comptes<\/span> \u00eatre neutralis\u00e9.<\/p>\nAttaques sur les profils et les privil\u00e8ges<\/h3>\n
Compte<\/span>-gestion et taux d'erreur<\/h3>\n
Gestion<\/span> de Risque<\/span>-utilisateurs<\/h3>\n
Entr\u00e9es lat\u00e9rales<\/h3>\n
<\/a><\/p>\nV\u00e9rification de la configuration et d\u00e9fense contre les attaques<\/h3>\n
<\/a><\/p>\n