減輕ERP應(yīng)用的網(wǎng)絡(luò)風(fēng)險(xiǎn)

如今，諸多因素正在將企業(yè)實(shí)施的大量ERP（企業(yè)資源計(jì)劃）應(yīng)用置于風(fēng)險(xiǎn)之中。

首先，攻擊者可以更方便地集中其攻擊方向和伎倆。大多數(shù)大型企業(yè)都實(shí)施了幾種主要ERP應(yīng)用。這意味著攻擊者可以專門理解并發(fā)現(xiàn)一兩種ERP應(yīng)用的漏洞。

其次，回報(bào)豐厚。大型企業(yè)ERP都支持其最關(guān)鍵的業(yè)務(wù)流程，并將其最敏感的信息放在這些系統(tǒng)中。

第三，攻擊者可以充分利用已知的漏洞。ERP的客戶正努力保持跟蹤最新的安全漏洞，保持最新的安全配置和安全補(bǔ)丁。其中的原因有很多，其中包括：復(fù)雜的系統(tǒng)架構(gòu)、大量接口的集成、定制的功能以及對(duì)宕機(jī)時(shí)間的幾乎零容忍。因此，許多企業(yè)正在實(shí)施和運(yùn)行并不安全的ERP應(yīng)用。

第四，由于云計(jì)算、移動(dòng)計(jì)算等技術(shù)的應(yīng)用，在企業(yè)沒(méi)有正確實(shí)施安全措施的情況下，成千上萬(wàn)的ERP應(yīng)用直接連接到了互聯(lián)網(wǎng)上，并能夠增加企業(yè)暴露在風(fēng)險(xiǎn)中的可能性。

第五，信息被泄露。第三方和雇員使用互聯(lián)網(wǎng)上的不安全的文件存儲(chǔ)并在公共論壇中分享ERP的登錄憑據(jù)，從而在不知不覺(jué)中泄露了內(nèi)部的ERP應(yīng)用。

風(fēng)險(xiǎn)的回報(bào)率很有吸引力。因而，無(wú)論是國(guó)家層面、網(wǎng)絡(luò)罪犯，還是黑客組織等都在攻擊這些應(yīng)用，其目的無(wú)非是從事網(wǎng)絡(luò)間諜活動(dòng)、網(wǎng)絡(luò)破壞、數(shù)據(jù)竊取，甚至是加密貨幣的挖掘。這種證據(jù)在暗網(wǎng)、網(wǎng)絡(luò)犯罪論壇、社交媒體上比比皆是，惡意份子在其中分享信息和各種工具，并且炫耀其成功的破壞活動(dòng)。

很明顯，ERP應(yīng)用并不安全。“防火墻”后的ERP實(shí)施正在成為攻擊者的目標(biāo)。“云環(huán)境”中的ERP應(yīng)用以及本地應(yīng)用都可以直接通過(guò)網(wǎng)絡(luò)訪問(wèn)。甚至是對(duì)ERP應(yīng)用安全的一些傳統(tǒng)控制，如用戶身份管理、責(zé)任分離等，都有可能是無(wú)效的，因?yàn)楣粽哒诓粩嗟靥嵘洳呗浴⒓夹g(shù)和過(guò)程。例如，攻擊者將分布式拒絕服務(wù)攻擊（DDoS）或銀行木馬與僵尸網(wǎng)絡(luò)結(jié)合起來(lái)。

幸運(yùn)的是，對(duì)于安全專家來(lái)說(shuō)，仍有許多方法可以減輕現(xiàn)有的威脅和風(fēng)險(xiǎn)，特別是安全專家可以與ERP的管理結(jié)合起來(lái)，理解這些方案的技術(shù)復(fù)雜性、如何部署及其所支持的過(guò)程。

下面給出的一些建議可以幫助企業(yè)改進(jìn)ERP應(yīng)用的安全狀況，而不管這些ERP是部署在本地或是在公有云、私有云、混合云等環(huán)境中。

首先，確認(rèn)和減少ERP應(yīng)用層的漏洞、不安全的配置以及過(guò)高的用戶特權(quán)。這包括與廠商的安全補(bǔ)丁步伐保持一致、強(qiáng)化弱口令、檢查管理員和開發(fā)者的用戶特權(quán)，以及那些用于批處理工作和與其他應(yīng)用進(jìn)行交互的特權(quán)。還有一個(gè)重要的問(wèn)題，在決定對(duì)哪些漏洞打補(bǔ)丁時(shí)，企業(yè)應(yīng)查找那些正被攻擊者積極利用的漏洞以及那些可被利用的漏洞。

其次，確認(rèn)并清除企業(yè)中的不同ERP應(yīng)用的危險(xiǎn)接口和API，尤其是那些與第三方和面向互聯(lián)網(wǎng)的接口。其中包括與開發(fā)部門、質(zhì)量擔(dān)保、生產(chǎn)前系統(tǒng)的接口，因?yàn)檫@些接口可被濫用作為入侵點(diǎn)。此外，還有加密的使用、服務(wù)賬戶特權(quán)以及在配置接口和API時(shí)的信任關(guān)系。另外，還有一個(gè)重要的方面，就是在沒(méi)有合法的業(yè)務(wù)理由情況下去評(píng)估敏感應(yīng)用是否被泄露。

第三，對(duì)敏感的ERP用戶活動(dòng)和特定的ERP危害活動(dòng)線索進(jìn)行監(jiān)視和響應(yīng)，其中包括可疑的用戶活動(dòng)，如技術(shù)和業(yè)務(wù)類型的特權(quán)用戶和非特權(quán)用戶。企業(yè)還要實(shí)施一種可重復(fù)的過(guò)程，將ERP應(yīng)用融合到已有的事件監(jiān)視和響應(yīng)過(guò)程及功能中。

第四，監(jiān)視已泄露的ERP數(shù)據(jù)和用戶憑據(jù)，其中包括監(jiān)視威脅情報(bào)源，以便于進(jìn)行檢測(cè)。例如，監(jiān)視泄露的ERP憑據(jù)、已經(jīng)被有意或無(wú)意在互聯(lián)網(wǎng)上泄露的與ERP有關(guān)的信息，還有與ERP應(yīng)用有關(guān)的漏洞利用程序的證據(jù)以及漏洞。

上述建議應(yīng)當(dāng)在完整的ERP應(yīng)用平臺(tái)上實(shí)施，無(wú)論是在業(yè)務(wù)層面還是在技術(shù)層面，都必須持之以恒，因?yàn)槠髽I(yè)的環(huán)境和威脅狀況在不斷地演變。

很明顯，ERP應(yīng)用是網(wǎng)絡(luò)攻擊者的目標(biāo)。幸運(yùn)的是，許多控制和行動(dòng)都是許多眾所周知的信息安全實(shí)踐和項(xiàng)目的實(shí)現(xiàn)。隨著安全團(tuán)隊(duì)和ERP管理開始協(xié)作并提升當(dāng)前的過(guò)程，在實(shí)施這些措施的過(guò)程中，企業(yè)可以改變攻擊者的風(fēng)險(xiǎn)回報(bào)率，并使ERP應(yīng)用對(duì)攻擊者的吸引力更小。