امنیت در مدیریت منابع سازمانی - ویکیپدیا، دانشنامهٔ آزاد
این مقاله یک ترجمه از ویکیپدیای انگلیسی است. یادکردها و منابع توسط مترجم بررسی نشدهاست و از مقالهٔ ویکیپدیای انگلیسی کپی شدهاند. شیوهٔ ارجاع این مقاله ارجاع دست دوم است. |
امنیت در مدیریت منابع سازمانی، گستره وسیعی از تمهیداتی است که به منظور حفاظت از سامانههای مدیریت منابع سازمانی (به اختصار: ای آر پی[پانویس ۱])، در مقابل دسترسی غیرمجاز، به کار گرفته میشوند؛ تا از تمامیت و در دسترس بودن دادههای سامانه اطمینان حاصل کنند. سامانه مدیریت منابع سازمانی یک نرمافزار کامپیوتری است که به جهت یکپارچه کردن اطلاعات کاربردی برای مدیریت یک سازمان از جمله تولید، مدیریت زنجیره تأمین، مدیریت مالی، مدیریت منابع انسانی، مدیریت ارتباط با مشتری و مدیریت کارایی کسب و کار، به کار برده میشود.
چکیده
[ویرایش]سامانه ای آر پی[پانویس ۱] فرایندهای کسب و کار را با یکدیگر ادغام میکند که این فرایندها مواردی همچون تدارکات، حمل و نقل، مدیریت منابع انسانی، مدیریت تولید و برنامهریزی مالی را ممکن میسازند.[۱] از آنجایی که این سامانه اطلاعات محرمانه را ذخیره میکند، انجمن حسابرسی و کنترل سامانههای اطلاعاتی (به اختصار: آیساکا[پانویس ۲]) توصیه میکند بهطور منظم یک ارزیابی جامع از امنیت سامانه ای آر پی[پانویس ۱] انجام شود تا آسیبپذیریهای نرمافزاری، خطاهای پیکربندی، تداخلات در تفکیک وظایف، پیروی از استانداردها و توصیههای مربوط و همچنین توصیههای عرضهکنندگان، در سرویس دهندههای سامانه ای آر پی[پانویس ۱] وارسی شود.[۲][۳]
علل ایجاد آسیبپذیری در سامانههای ای آر پی
[ویرایش]پیچیدگی
[ویرایش]سامانههای ای آر پی[پانویس ۱] تراکنشهایی را پردازش میکنند و رویههایی را به کار میبندند تا مطمئن شوند کاربران مجوزهای دسترسی متفاوتی دارند. صدها شیء مجوز دهنده در سامانه شرکت اس آ پی (به انگلیسی: SAP) وجود دارد که به کاربران اجازه انجام عملیاتهای مختلف را میدهند. به عنوان مثال، در صورتی که شرکت ۲۰۰ کاربر داشته باشد، بهطور تقریبی ۸۰۰٬۰۰۰ (۱۰۰*۲*۲۰*۲۰۰) روش برای شخصیسازی تنظیمات امنیتی سامانههای ای آر پی[پانویس ۱] وجود دارد.[۴] با افزایش پیچیدگی، احتمال بروز خطا و تداخل در تفکیک وظایف نیز افزایش مییابد.[۲]
به خصوص بودن
[ویرایش]عرضهکنندگان، آسیبپذیریها را بهطور منظم برطرف میکنند زیرا هکرها برنامههای تجاری را رصد میکنند تا مشکلات امنیتی را بیابند و از آنها سوء استفاده کنند. شرکت اس آ پی بهطور ماهانه پچهای خود را در روز Patch Tuesday (به فارسی: سه شنبه مخصوص پچ) منتشر میکند، اوراکل (به انگلیسی: Oracle) نیز هر سه ماه تعمیرات امنیتی را در Oracle Critical Patch Update (به فارسی: بروز رسانیهای مهم پچ اوراکل) منتشر میکند. هر چه میگذرد، برنامههای تجاری بیشتر در معرض اینترنت و مهاجرت به فضای ابری قرار میگیرند.[۵]
فقدان متخصصان شایسته و کاربلد
[ویرایش]مطالعه ای[۶] در زمینه امنیت سایبری سامانه ای آر پی[پانویس ۱] نشان داد سازمانهایی که از سامانههای ای آر پی[پانویس ۱] استفاده میکنند، «با فقدان یا کمبود در هر دو زمینه آگاهی و کنشهای انجام گرفته در راستای تأمین امنیت این سامانه، مواجه هستند».[۷] آیساکا[پانویس ۲] اظهار دارد «با کمبود کارکنان تعلیم دیده در زمینه امنیت ای آر پی[پانویس ۱] مواجه هستیم».[۴] مضاف بر آن، سرویسهای امنیتی درک ناکافی از خطرات و تهدیدات مربوط به سامانههای ای آر پی[پانویس ۱] دارند. در نتیجه انجام تعهداتی از قبیل کشف، و به دنبال آن، برطرف کردن آسیبپذیریهای امنیتی، پیچیده و دشوار میشود.[۸][۵]
فقدان ابزارهای وارسی کننده امنیت
[ویرایش]وارسی امنیتی سامانه ای آر پی[پانویس ۱] بهطور دستی انجام میشود، چراکه ابزارهای متعدد همراه با بستههای نرمافزاری ای آر پی،[پانویس ۱] روش یا وسیله ای برای وارسی امنیتی سامانه فراهم نمیکنند. وارسی دستی یک فرایند پیچیده و زمانبر است که احتمال بروز خطا را افزایش میدهد.[۲]
تعداد زیاد تنظیمات شخصیسازی شده
[ویرایش]سامانه یادشده، شامل هزاران پارامتر و تنظیمات ریز و جزئی از جمله تفکیک وظایف برای تراکنشها و جداول میشود و پارامترهای امنیتی برای هر سامانه بهطور مجزا تنظیم شدهاست. تنظیمات سامانه ای آر پی[پانویس ۱] مطابق نیازهای مشتریان شخصیسازی میشود.
مشکلات امنیتی در سامانههای ای آر پی
[ویرایش]مشکلات امنیتی در سامانههای ای آر پی در سطوح مختلفی رخ میدهد.
لایه شبکه
[ویرایش]شنود و دستکاری جریان اطلاعات
- نبود رمزنگاری داده
در سال ۲۰۱۱ میلادی، متخصصین سنسپوست (به انگلیسی: Sensepost) پروتکل یا قرارداد[پانویس ۳] دیاگ (به انگلیسی: DIAG[پانویس ۴]) مورد استفاده برای انتقال داده از سرویس گیرنده (یا کلاینت) به سرویس دهنده (یا سرور) اس آ پی در سامانه ای آر پی[پانویس ۱] این شرکت را، مورد بررسی و تحلیل قرار دادند. دو قطعه نرمافزاری کشف و اعلام شدند که اجازه شنود، رمزگشایی و دستکاری درخواستهای سرویس دهنده-سرویس گیرنده شامل اطلاعات مهم و حیاتی را میدادند. این امر حملات مختلف از جمله حمله مرد میانی را ممکن میساخت. دومین قطعه نرمافزاری مانند یک پروکسی (یا پیشکار[پانویس ۵]) عمل میکند و برای تشخیص آسیبپذیریهای جدید به وجود آورده شده بود. این قطعه اجازه دستکاری درخواستهای واصله به سرویس دهنده و سرویس گیرنده را میداد.[۹]
- ارسال رمزعبور به صورت رمزنگاری نشده
در سامانه ای آر پی[پانویس ۱] اس آ پی، این امکان وجود دارد که عملیاتهای مدیریتی را از طریق پروتکل تلنت (به انگلیسی: Telnet) اجرا کرد؛ که رمزهای عبور را رمزنگاری میکند.
آسیبپذیریها در رمزنگاری یا پروتکلهای احراز هویت
- رمزنگاری به وسیله هش
- رمزنگاری رمزعبورها به شیوه اکس اور (در دیاگ[پانویس ۴] اس آ پی)
- اصرار بر استفاده از پروتکلهای اصالت سنجی منسوخ شده
- پروتکلهای اصالت سنجی نادرست
آسیبپذیریها در پروتکلها
پروتکل آر اف سی (به انگلیسی: RFC[پانویس ۶]) به منظور اتصال دو سامانه از طریق پروتکل کنترل انتقال (به اختصار: تی سی پی[پانویس ۷]) در ای آر پی[پانویس ۱] شرکت اس آ پی به کار میرود. فراخوانی آر اف سی تابعی است که فراخوانی و اجرای یک ماژول (یا پودمان) کارکردی قرار گرفته در یک سامانه را ممکن میسازد. زبان برنامهنویسی آباپ (به انگلیسی: ABAP) که به منظور نوشتن برنامههای تجاری برای شرکت اس آ پی استفاده میشود، دارای توابعی برای ایجاد فراخوانیهای آر فی سی است. چندین آسیبپذیری مهم در کتابخانه آر اف سی اس آ پی در نسخههای ۶ و ۷ کشف شده بود:[۱۰]
- تابع آر اف سی "RFC_SET_REG_SERVER_PROPERTY" اجازه تعیین یک استفاده انحصاری از سرویس دهنده آر اف سی را میدهد. اکسپلویتها یا سوء استفاده از آسیبپذیریها باعث قطع دسترسی کاربران مجاز میشوند. در نتیجه، امکان حمله منع سرویس فراهم میشود.
- خطا در تابع آر اف سی "SYSTEM_CREATE_INSTANCE". سوء استفاده از این آسیبپذیری اجازه اجرای هر کد یا دستور دلخواهی را میدهد.
- خطا در تابع آر اف سی "RFC_START_GUI". سوء استفاده از این آسیبپذیری نیز اجازه اجرای کد دلخواه را میدهد.
- خطا در تابع آر اف سی "RFC_START_PROGRAM". سوء استفاده از این آسیبپذیری اجازه اجرای کد دلخواه یا به دست آوردن اطلاعات دربارهٔ پیکربندی سرویس دهنده آر اف سی را میدهد.
- خطا در تابع آر اف سی "TRUSTED_SYSTEM_SECURITY". سوء استفاده از این آسیبپذیری اجازه جمعآوری اطلاعات درمورد کاربران و گروههای موجود در سرویس دهنده آر اف سی را میدهد.
یادداشت
[ویرایش]- ↑ ۱٫۰۰ ۱٫۰۱ ۱٫۰۲ ۱٫۰۳ ۱٫۰۴ ۱٫۰۵ ۱٫۰۶ ۱٫۰۷ ۱٫۰۸ ۱٫۰۹ ۱٫۱۰ ۱٫۱۱ ۱٫۱۲ ۱٫۱۳ ۱٫۱۴ ۱٫۱۵ ERP: Enterprise Resource Planning
- ↑ ۲٫۰ ۲٫۱ ISACA: the Information Systems Audit and Control Association
- ↑ فرهنگستان زبان و ادب فارسی، در رشتههای مهندسی مخابرات و رایانه و فناوری اطلاعات، واژهٔ «قرارداد» را برابر «پروتکل» نهادهاست. از جمله: «قراردادهای دسترسی» برابر «access protocols» در رشتهٔ مهندسی مخابرات و «قرارداد اینترنت» برابر «access protocols» در رشتهٔ رایانه و فناوری اطلاعات
- ↑ ۴٫۰ ۴٫۱ DIAG: Dynamic Information and Action Gateway
- ↑ پیشکار از واژههای مصوب فرهنگستان زبان و ادب فارسی به جای proxy یا proxy server در انگلیسی و در حوزهٔ رایانه است.
- ↑ RFC: Remote Function Call
- ↑ TCP: Transmission Control Protocol
پانویس
[ویرایش]- مشارکتکنندگان ویکیپدیا. «ERP Security». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۱۱ ژانویهٔ ۲۰۲۳.
منابع
[ویرایش]- ↑ «What is ERP». دریافتشده در ۱۱ ژانویه ۲۰۲۳.
- ↑ ۲٫۰ ۲٫۱ ۲٫۲ Security issues in ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx بایگانیشده در ۹ نوامبر ۲۰۱۵ توسط Wayback Machine
- ↑ «Why security should be a priority for an ERP ecosystem». Information Age. ۳۱ آگوست ۲۰۱۷. دریافتشده در ۱۱ ژانویه ۲۰۲۳.
- ↑ ۴٫۰ ۴٫۱ «ERP Security and Segregation of Duties Audit: A Framework for Building an Automated Solution» (PDF).
- ↑ ۵٫۰ ۵٫۱ «ERP Security Deserves Our Attention Now More Than Ever». Forbes. ۷ ژوئیه ۲۰۱۷. دریافتشده در ۱۱ ژانویه ۲۰۲۳.
- ↑ ERP Cybersecurity survey 2017 https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/[پیوند مرده]
- ↑ «Survey reveals the damage of fraud attacks against SAP system is estimated at $10m». CSO from IDG. ۲۷ ژوئن ۲۰۱۷. بایگانیشده از اصلی در ۷ مه ۲۰۱۸. دریافتشده در ۶ آوریل ۲۰۱۸.
- ↑ «Six classic ERP system security problems – and how to avoid them». CloudTech. ۱۰ مه ۲۰۱۷. دریافتشده در ۶ آوریل ۲۰۱۸.
- ↑ ERPScan warns about new vulnerabilities of DIAG protocol in SAP
- ↑ SAP RFC Library Multiple Vulnerabilities http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2