اختبارات أداة ترقية SAP نقاط الضعف الأمن

Sapyto ، أداة ل اختبار أمان أنظمة SAP ، تمت ترقيته بمكونات إضافية جديدة تسمح بإجراء اختبارات أكثر دقة ، وفقًا لمطور الأداة.

يعمل الإصدار 0.99 من Sapyto الآن على أجهزة الكمبيوتر التي تشغّل Microsoft Windows حيث كان الإصدار السابق يعمل فقط على Linux ، نونيز دي كروس ، باحث أمني كبير في Cybersec Security Systems ، وهي شركة أمنية مقرها في بوينس آيرس ، الأرجنتين. وقدم عرضًا الأسبوع الماضي في مؤتمر Black Hat للأمن في أمستردام.

أحدث إصدار من Sapyto يضيف مكونات إضافية جديدة يمكن استخدامها للحصول على معلومات من أجهزة توجيه SAP عن بعد وكذلك اكتشاف أنظمة SAP عن بعد واختبارها تلقائيًا. يمكن للمطورين أيضًا إنشاء المكونات الإضافية الخاصة بهم.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

مطور البرامج الألماني SAP يجعل أنظمة برامج الأعمال التي تدير سلاسل التوريد والمسائل المالية ومهام إدارة علاقات العملاء ، من بين العديد من اشياء اخرى. لدى الشركة أكثر من 40،000 عميل في جميع أنحاء العالم ، وهناك أكثر من 120،000 تطبيق لـ SAP ، وفقًا للعرض التقديمي لـ Nuñez Di Croce.

تم استهداف أنظمة SAP من قِبل المخترقين والمطلعين المطلعين على تدمير الشركة نظرًا لأن البرنامج يحتوي على معلومات داخلية قيمة معلومات. هذه الحوادث عادة لا تصبح عامة لأن الشركات لا تكشف عنها ، لكن نونيز دي كروس قال. يعرف نونيز دي كروس عن حالة قبل عامين حيث خسرت شركة ما 250،000 دولار بسبب التلاعب غير المناسب لنظام SAP المالي.

بعض المديرين الماليين لا يزالون غير مدركين لأهمية الأمن الجيد في أنظمة SAP ، حسب قول نونيز دي كروس.. وبما أن أنظمة SAP مكلفة للغاية وتتحكم في عدد كبير من العمليات التجارية ، فإن المديرين التنفيذيين سيمضون قدما في وضع الأنظمة في الإنتاج بدون مراجعة أمنية مناسبة ، كما قال.

لقد عرف نونيز دي كروس عن حالة أخرى قرر فيها مسؤول تنفيذي فقط لديك وصول مفتوح إلى نظام SAP لمدة ثلاثة أشهر. وقال إن هذا أمر خطير ، ومن غير المرجح أن يتم إغلاق النظام بعد ثلاثة أشهر. يقول نونيز دي كروس: "تبقى الكثير من أنظمة SAP في تكوينات الأمان الافتراضية ، وهي غير آمنة أيضًا."

"يُنظر إلى الأمن عادة على أنه كتلة في الطريق". "هناك العديد من أنظمة SAP التي تنفذها الشركات الكبرى غير الآمنة."

Sapyto هو برنامج مفتوح المصدر ومجاني. يمكن تحميلها من موقع Cybsec على الويب. الإصدار 0.98 موجود على موقع الويب الآن ، ويجب نشر الإصدار الجديد قريبًا. كانت Sapyto أول شبكة اختبار للاختراق تم تصميمها لبرنامج SAP.