Egy mai rendezvényen a Noreg Kft. és két technológiai partnere (SECUDE, BSIS9) ismertette hazai tapasztalatait az informatikai rendszerekben tárolt kritikus fontosságú vállalati adatok védelméről, ezen belül pedig különösen a vállalat folyamatait menedzselő vállalatirányítási rendszerek biztonsági feladatairól. Ezekről a témákról láthattunk érdekes prezentációkat.

Mire kell figyelni?

A vállalatok információvagyonának jelentős részét különböző üzleti rendszerekben, illetve az ezekhez kötődő adatbázisokban tárolják, s ezek között is kiemelt szerepet töltenek be a komplex vállalatirányítási rendszerek, amelyek a legtöbb esetben a napi üzletmenet-folytonosság biztosításához szükségesek. A rendszer kiesése esetén számos üzleti folyamat nem hajtható végre, adott esetben a vállalat alaptevékenysége sem végezhető el. A rendszer leállása mellett további fenyegetést jelent a rendszerben tárolt adatok szándékos vagy véletlen módosítása, jogosulatlan hozzáférés az adatokhoz, vagy a bizalmas információk illetéktelen kezekbe kerülése. A fenyegetések jelentős részét a rendszer rossz konfigurációja, vagy a kiszolgáló szoftverekben lévő biztonsági sérülékenységek, problémák okozzák.

Noreg-recept: komplex vizsgálat profi célszoftverekkel

"Olyan komplex vállalatirányítási rendszerek – mint például az SAP – védelmére kínálunk megoldást, ahol nem elegendő a védelem egyetlen szintjével foglalkozni, hanem az egész rendszer komplex vizsgálatára van szükség. Ez azért is fontos, mert ha bármely pont gyengének bizonyul, az egész rendszer és a benne szereplő adatok is veszélybe kerülhetnek" – mondta Kovács Tamás, a Noreg műszaki igazgatója. A teljes körű vizsgálat részét képezi az alkalmazás, az adatbázisok, a kiszolgáló szerverek operációs rendszerének, illetve hálózati kapcsolatainak vizsgálata is. Az üzletbiztonsággal már jó ideje foglalkozó cég az egyes vizsgálatokhoz különböző eszközöket, célszoftvereket használ. Ezek közé tartozik a SECUDE SAP alkalmazásszintű sérülékenységeit feltáró NetWeaver, Oracle, vagy az SQL adatbázis sérülékenységeket vizsgáló AppDetective szoftver az Application Securitytől, illetve az IBM-ISS sérülékenység vizsgáló termékei.

SECUDE, mint az SAP biztonsági támogatója

A Noreg a biztonsági aduitoknál gyakran használja a SECUDE termékeit is, amelyek támogatják az összes SAP-alkalmazást, -verziót és -platformot. A megoldások mindegyike, legyen szó akár a végpontok közötti kommunikáció védelméről vagy biztonságos bejelentkezésről és azonosításról, együtt és külön-külön is alkalmazható és bevezethető. A SECUDE Security Center for SAP NetWeaver átfogó megoldást nyújt például az SAP rendszerek különböző támadható területeinek elemzésével a biztonsági kockázatok feltárására, majd különböző riportok készítésére. A riport összeállításán túl a kockázatok csökkentése érdekében javaslatot is tesz a beállítások módosítására.

A mai rendezvényen is meggyőződhettünk arról, hogy az olyan vállalatirányítási rendszerek, mint az SAP, komplexitásuk és méretük miatt rengeteg beállítási paramétert és konfigurációs opciót tartalmaznak a rendszer finomhangolására. Emellett a méretből adódóan rengeteg értékes információt tárolnak e rendszerekben, amelyek információvédelmére különös gondot kell fordítani. Arról nem is beszélve, hogy most már a nagy vállalati rendszereknél is elkerülhetetlen a teljes ajtónyitás az internet felé.