Polyakov:警惕针对关键业务应用的新威胁

　　在2012RSA中国信息安全大会期间，ERPScan公司，首席技术官Alexander Polyakov做了题为《SSRF：针对关键业务应用的新威胁》的演讲，并接受了媒体记者的采访。

　　记者：您去年在黑帽大会期间，曾经指出SAP存在漏洞，这个漏洞有多严重？造成什么样的后果？

　　Alexander Polyakov：有什么漏洞呢，可以让黑客在里面生成一个新的用户，表现行为是什么方式呢，就像一个合法管理员，但是这个是没有经过授权的。它这个实际上通过门户网站，很容易从互联网上找到这样一个漏洞。

　　记者：最近发现新的漏洞，有什么防控的办法？

　　Alexander Polyakov：很遗憾我们现在传统的措施是无法防止这种漏洞，如果你要是有这样具体的系统，我们必须要找具体的，改变传统的方法去解决这个漏洞。

　　记者：我想问一下，之前对ERPScan产品做过一些了解，它可能专注于SAP的漏洞，这些漏洞如果不修复的话，会产生什么严重的后果，因为之前甲骨文曾经爆出一个四年前的漏洞，它就是拒绝修复，对用户造成很大的怨言，这种情况是不是说漏洞，是有必要都要修复吗？

　　Alexander Polyakov：这个我们必须解决，因为像这样一些漏洞，都是服务器端的，都是能够在互联网上直接攻击，和甲骨文不一样，它可以通过互联网去攻击，所以必须修复。

　　记者：你上午讲到SSRF攻击向量，跟传统最大的区别在这里吗？就是暴露在互联网上？

　　Alexander Polyakov：这个不一样的，因为传统攻击都是比较直接的攻击，而现在这种攻击都是间接方式攻击的。对这个数据包分析的话，很难去发现新的攻击。这

　　记者：现在ERPScan产品是否能够对这个向量做出有效的防御呢？

　　Alexander Polyakov：这个就是说，主要是结合ERPScan的产品。然后做一些检查，通过六个月或者三年的周期，对一些攻击做出一些检查。

　　记者：我从ERPScan的官网上看到，有很多安全厂商的合作伙伴，还有SAP的合作伙伴，它的产品定位是什么产品定位呢？会不会和产品安全，像和杀毒软件产生什么冲突呢？

　　Alexander Polyakov：一般我们平常扫描软件，杀毒软件，它涉及不是某个具体的环节，是全方面的，他们对SAP的查找很少，即便有也很少，而我们是专门针对SAP查找有六千多个，而且都是定制的，所以里面有上千个参数，所以跟标准的杀毒软件是不一样的。

　　记者：如果没有登陆的话，能产生SSRF攻击吗？

　　Alexander Polyakov：攻击SAP的时候，就不用去登陆。有时候多数情况下，需要登陆的。

　　只要这个漏洞可以利用，就可以攻击。

　　记者：新型的攻击是否会引起大范围的潜在的威胁呢？

　　Alexander Polyakov：这个目前是刚开始的，目前发现的时候案例还是为数不多，但是这是一种新的攻击向量，会再去考察是否有大的潜在威胁存在。

　　记者：我想问一下，根据现在风险报告披露的数据，针对于定制应用的攻击增加，想问一下产生这个方面的原因。

　　Alexander Polyakov：因为以前的攻击都是对原有的操作系统，所以有很多安全措施，而我们定制性的措施就像封闭墙一样，以往并没有引起太多的注意和关注，所以这也是为什么现在定制应用出现了攻击上升的趋势。

　　记者：我想问除了SAP之外，新的风险是否已经出现，是什么原因造成的？

　　Alexander Polyakov：除了我在SAP发现问题之外，在虚拟机器上也发现了问题，同时在银行系统上也有问题，因为他们也存在数据传输交换，所以也存在这些问题。这并不是跟SAP一家有关的，我们知道这个有严重，所以第一例是我们发现的。

　　记者：像贵公司能不能起到一些作用？

　　Alexander Polyakov：这主要分为三个层次，第一个职权是有很明确的划分，一个用户只能做一项工作，不能做其他的工作，要有明确的授权。第二方面就是技术方面的工作，比如以前存在配制不好的，或者有问题的配制，或者技术里面存在一些技术漏洞要进行解决。第三就是定制的原代码一样，因为两家里面，不可能有同样的SAP，所以做这些代码的时候也存在一些漏洞。这是第三个原因。所以我现在给他们做这方面的帮助，怎么样持续去监控这三个方面，在SAP的产品上持续监控。

　　记者：这次参加中国的RSA，是有相关市场推广计划还是有其他原因？

　　Alexander Polyakov：这次主要到中国来，主要跟大家分享自己的技术，因为全球经常有这样的活动，比如说经常去一些美国和欧洲，跟他们分享研究的成果。亚洲地区，除了马来西亚之外，这次是第一次到亚洲来了解和分享技术方面的成果。当然，如果能找到一个合作伙伴，也非常高兴。

　　记者：中国用户对ERPScan公司了解不是很多，能不能请您具体聊一下公司情况。

　　Alexander Polyakov：实际上我们公司整体是2002年在俄罗斯成立，做一些咨询和推广方面的应用，应用里面也包括两个方面，一个是具体应用程序，还有网络方面的安全应用。在五年前做出另外一个决策，想要选择具体的领域，专注这方面的安全，然后把这个推广到全球去。所以五年前专注于一个领域，就是SAP，也成为SAP里面的第一个业务伙伴，然后每年发现100个左右SAP的漏洞。

　　记者：那和SAP的合作是战略的还是松散的？

　　Alexander Polyakov：在一开始好几年，跟SAP合作都像志愿者一样，但是从去年开始，进入到战略伙伴，属于战略性的。我们的合作是从五年前开始的，当时第一次发现SAP漏洞。

　　记者：这跟五年前你们决定进行业务细分有关联吗？

　　Alexander Polyakov：是的，一开始他们能够去做一些SAP方面的合作，其实最开始做过包括微软的，现在只是针对SAP，其他的系统再过半年再来开发，就是针对其他的系统，除了SAP之外。