所有企业资源规划(ERP)系统都存在漏洞,因为这类系统在开箱即用的状态下,并未启用监管机构、管理层及内部审计人员要求的控制功能。
识别并设计最优的 ERP 控制措施、制定高效的测试方法、修复 ERP 控制缺陷,均需要多年的经验积累。要始终紧跟 ERP 安全控制的前沿并非易事。与其持续培训内部员工、占用他们的时间执行 ERP 风险评估,不如与经验丰富的专业团队合作 —— 他们每日深耕于此领域。这能让你的员工有精力专注于更高价值的项目。
心怀不满的员工要在系统中实施特定类型欺诈,需满足哪些条件?
系统中仍存在有效用户账户(处于活跃、未锁定状态)。
该用户拥有在生产环境中执行特定程序的权限。
该用户知晓自己具备实施欺诈的特定权限。
该用户需找到规避检测的方法,最常见的是执行多笔金额极小的财务操作。
若上述控制措施均妥善部署,要同时满足所有欺诈条件极为困难。即便其中一项控制失效,其他控制措施仍能发挥作用。在这种情况下,所有控制措施同时失效的概率极低。
但某些关键漏洞(例如针对已知配置错误的公开漏洞利用程序10KBLAZE),可使任何人绕过身份验证(无需用户凭证即可访问)、权限验证(无权限即可执行操作),并篡改日志(操作不留痕迹)。
若存在单个漏洞,心怀不满的员工要实施同类欺诈,又需满足哪些条件?
用户需能访问谷歌下载漏洞利用程序。
用户需能访问谷歌了解 SAP 主数据表。
用户需按照漏洞利用程序文档中的步骤操作。
即便上述所有传统控制措施均正常运行,欺诈行为仍可能发生。这些漏洞能够绕过所有 “传统 IT 一般控制措施”—— 因为这类控制主要防范以“传统方式” 实施的恶意行为。一旦恶意行为通过其他方式执行,这些控制措施便会被绕过。
读到这里,有人可能会问:“这种情况实际发生的概率有多大?”
2016 年和 2018 年,企业频频收到警示,提醒其警惕针对 ERP 系统的恶意网络活动。2019 年 5 月,随着 10KBLAZE 漏洞利用程序的公开,各组织需警惕这一针对 SAP 已知配置错误的新型威胁。尽管这些配置错误此前已被发现,潜在攻击的影响程度始终极高,但公开漏洞利用程序的出现,大幅提高了攻击发生的概率。
最后值得一提的是,IDC 近期针对 430 位 IT 决策者开展的调查显示,64% 的受访者表示,其 ERP 系统在过去 24 个月内曾遭遇入侵。
读到这里,你或许会思考:如何与管理层启动跨部门的内部讨论?以下关键问题可助你开启新的对话:
针对每个关键业务应用系统,IT 一般控制措施(ITGC)的范围是如何定义的?
网络安全控制是否被纳入 ITGC 的定义范围?例如:漏洞管理、日志配置与管理、配置基线、系统间网络接口等。
针对关键业务应用系统的内外部威胁,是否已妥善建立持续监控机制?
已部署哪些工具来监控特定财务系统?
关键业务应用系统的安全补丁多久审核并部署一次?
针对财务报告相关关键业务应用中使用的定制代码,已建立哪些网络安全控制措施?
关键网络安全控制措施如何映射到《萨班斯 - 奥克斯利法案》(SOX)之外的其他法规要求?例如 NERC-CIP(北美电力可靠性公司关键基础设施保护标准)、PCI(支付卡行业数据安全标准)、GDPR(通用数据保护条例)等。
外部审计师、内部审计师及管理层应如何评估和测试上述控制措施,以确保数据安全?
本文转载自 雪兽软件
更多精彩推荐请访问 雪兽软件官网
