תוכנות עסקיות

מנהלי כספים מתעלמים לעיתים קרובות מחשיבות האבטחה של SAP על מנת להאיץ את הפריסה, לבדוק את האבטחה של מערכות SAP, שודרג עם תוספים חדשים המאפשרים בדיקה יסודית יותר, על פי המפתחים של הכלי.

גרסה 0.99 של Sapyto פועל כעת על מחשבים שבהם פועל Microsoft Windows שבו הגירסה הקודמת רץ רק על לינוקס, אמר מריאנו נוניז די קרוצ'ה, חוקר אבטחה בכיר בחברת Cybsec Security Systems, חברת אבטחה שבסיסה בבואנוס איירס, ארגנטינה. הוא נתן מצגת בשבוע שעבר בכנס האבטחה Black Hat באמסטרדם.

הגירסה האחרונה של Sapyto מוסיפה תוספים חדשים שניתן להשתמש בהם כדי לקבל מידע מנתבי SAP מרוחקים, כמו גם לגלות באופן אוטומטי ולאחר מכן לבדוק את מערכות ה- SAP מרחוק. מפתחי התוכנה הגרמנית SAP מייצרת מערכות תוכנה עסקיות המנהלות את שרשרות האספקה, נושאים פיננסיים ומשימות ניהול קשרי לקוחות, בין רבים. דברים אחרים. לחברה יש יותר מ -40,000 לקוחות ברחבי העולם, ויש יותר מ -120,000 אפליקציות של SAP, על פי המצגת של נוניז די קרוצ'ה.

מערכות SAP כבר ממוקד על ידי האקרים ומבקשים המבקשים לפגוע בחברה מאז התוכנה מכיל פנימי יקר מֵידָע. התקריות בדרך כלל לא הופכות לציבוריות משום שחברות אינן חושפות אותן, אמר נוניז די קרוצ'ה. אבל זה קורה. נוניז די קרוצ'ה יודע על מקרה לפני שנתיים, שם הפסידה החברה 250 אלף דולר בשל מניפולציה לא נכונה של מערכת פיננסית של SAP.

מנהלי כספים רבים עדיין אינם מודעים לאופן שבו האבטחה טובה על מערכות SAP, אמר נוניז די קרוצ'ה. מאחר שמערכות SAP הן יקרות מאוד ושולטות על כמות עצומה של תהליכים עסקיים, המנהלים ימשיכו לקדם את המערכות ללא בדיקה ביטחונית ראויה. לדבריו, נוניז די קרוצ'ה ידעה על מקרה נוסף שבו החליטה ההנהלה רק יש גישה פתוחה למערכת SAP במשך שלושה חודשים. זה מסוכן, ואין זה סביר שאחרי שלושה חודשים המערכת תינעל, אמר. מערכות רבות של SAP פשוט נשארות בתצורות האבטחה המוגדרות כברירת מחדל, שגם הן לא בטוחות, הוא אומר. "האבטחה נחשבת בדרך כלל לבלוק בדרך", נוניז די קרוצ'ה. "יש הרבה מערכות SAP שפועלות שם על ידי חברות גדולות שאינן מאובטחות".

Sapyto היא תוכנת קוד פתוח וללא תשלום. ניתן להוריד אותו מאתר האינטרנט של Cybsec. גרסה 0.98 הוא באתר האינטרנט עכשיו, ואת הגירסה החדשה צריכה להיות פורסמה בקרוב. Sapyto הייתה רשת בדיקות החדירה הראשונה שנבנתה עבור תוכנת SAP