Модернизированные тесты инструментов Слабые стороны системы безопасности SAP

Sapyto - инструмент для протестировать безопасность систем SAP, был обновлен новыми плагинами, которые позволяют провести более тщательное тестирование, согласно разработчику инструмента.

Версия 0.99 Sapyto теперь работает на компьютерах под управлением Microsoft Windows, где предыдущая версия работает только на Linux, сказал Мариано Нуньес Ди Кроче, старший исследователь безопасности в Cybsec Security Systems, охранной компании, базирующейся в Буэнос-Айресе, Аргентина. Он представил презентацию на прошлой неделе на конференции по безопасности Black Hat в Амстердаме.

В последней версии Sapyto добавлены новые плагины, которые можно использовать для получения информации от удаленных маршрутизаторов SAP, а также для автоматического обнаружения и последующего тестирования удаленных систем SAP. Разработчики также могут создавать свои собственные плагины.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Немецкий разработчик программного обеспечения SAP создает системы бизнес-софта, которые управляют цепочками поставок, финансовыми проблемами и задачами управления взаимоотношениями с клиентами, среди многих другие вещи. По данным Nuñez Di Croce, компания насчитывает более 40 000 клиентов по всему миру, и в ней представлено более 120 000 внедрений SAP.

Системы SAP были нацелены на хакеров и инсайдеров, стремящихся повредить компанию, поскольку программное обеспечение содержит ценные внутренние Информация. Случаи, как правило, никогда не становятся общедоступными, потому что компании не раскрывают их, сказал Нуньес Ди Кроче.

Но это происходит. Nuñez Di Croce знает о деле два года назад, когда компания потеряла 250 000 долларов США из-за неправильного манипулирования финансовой системой SAP.

Некоторые финансовые директора по-прежнему не знают, насколько важна хорошая безопасность в SAP-системах, сказал Нуньес Ди Кроче, Поскольку системы SAP очень дороги и управляют огромным количеством бизнес-процессов, руководители будут продолжать продвигать свои системы без надлежащего обзора безопасности, сказал он.

Нуньес Ди Кроче знал о другом случае, когда исполнительный директор решил просто имеют открытый доступ к системе SAP в течение трех месяцев. Это опасно, и маловероятно, что через три месяца система будет заблокирована, сказал он. Многие системы SAP просто остались в конфигурациях безопасности по умолчанию, что также небезопасно, сказал он.

«Безопасность обычно рассматривается как блок на дороге», Нуньес Ди Кроче. «Существует множество систем SAP, в которых работают крупные компании, которые не защищены».

Sapyto - это программное обеспечение с открытым исходным кодом и является бесплатным. Его можно загрузить с веб-сайта Cybsec. Версия 0.98 теперь находится на веб-сайте, и новая версия должна быть опубликована в ближайшее время. Sapyto была первой сетью тестирования проникновения, созданной для программного обеспечения SAP.