扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在2012RSA中国信息安全大会期间,ERPScan公司,首席技术官Alexander Polyakov做了题为《SSRF:针对关键业务应用的新威胁》的演讲,并接受了媒体记者的采访。
记者:您去年在黑帽大会期间,曾经指出SAP存在漏洞,这个漏洞有多严重?造成什么样的后果?
Alexander Polyakov:有什么漏洞呢,可以让黑客在里面生成一个新的用户,表现行为是什么方式呢,就像一个合法管理员,但是这个是没有经过授权的。它这个实际上通过门户网站,很容易从互联网上找到这样一个漏洞。
记者:最近发现新的漏洞,有什么防控的办法?
Alexander Polyakov:很遗憾我们现在传统的措施是无法防止这种漏洞,如果你要是有这样具体的系统,我们必须要找具体的,改变传统的方法去解决这个漏洞。
记者:我想问一下,之前对ERPScan产品做过一些了解,它可能专注于SAP的漏洞,这些漏洞如果不修复的话,会产生什么严重的后果,因为之前甲骨文曾经爆出一个四年前的漏洞,它就是拒绝修复,对用户造成很大的怨言,这种情况是不是说漏洞,是有必要都要修复吗?
Alexander Polyakov:这个我们必须解决,因为像这样一些漏洞,都是服务器端的,都是能够在互联网上直接攻击,和甲骨文不一样,它可以通过互联网去攻击,所以必须修复。
记者:你上午讲到SSRF攻击向量,跟传统最大的区别在这里吗?就是暴露在互联网上?
Alexander Polyakov:这个不一样的,因为传统攻击都是比较直接的攻击,而现在这种攻击都是间接方式攻击的。对这个数据包分析的话,很难去发现新的攻击。这
记者:现在ERPScan产品是否能够对这个向量做出有效的防御呢?
Alexander Polyakov:这个就是说,主要是结合ERPScan的产品。然后做一些检查,通过六个月或者三年的周期,对一些攻击做出一些检查。
记者:我从ERPScan的官网上看到,有很多安全厂商的合作伙伴,还有SAP的合作伙伴,它的产品定位是什么产品定位呢?会不会和产品安全,像和杀毒软件产生什么冲突呢?
Alexander Polyakov:一般我们平常扫描软件,杀毒软件,它涉及不是某个具体的环节,是全方面的,他们对SAP的查找很少,即便有也很少,而我们是专门针对SAP查找有六千多个,而且都是定制的,所以里面有上千个参数,所以跟标准的杀毒软件是不一样的。
记者:如果没有登陆的话,能产生SSRF攻击吗?
Alexander Polyakov:攻击SAP的时候,就不用去登陆。有时候多数情况下,需要登陆的。
只要这个漏洞可以利用,就可以攻击。
记者:新型的攻击是否会引起大范围的潜在的威胁呢?
Alexander Polyakov:这个目前是刚开始的,目前发现的时候案例还是为数不多,但是这是一种新的攻击向量,会再去考察是否有大的潜在威胁存在。
记者:我想问一下,根据现在风险报告披露的数据,针对于定制应用的攻击增加,想问一下产生这个方面的原因。
Alexander Polyakov:因为以前的攻击都是对原有的操作系统,所以有很多安全措施,而我们定制性的措施就像封闭墙一样,以往并没有引起太多的注意和关注,所以这也是为什么现在定制应用出现了攻击上升的趋势。
记者:我想问除了SAP之外,新的风险是否已经出现,是什么原因造成的?
Alexander Polyakov:除了我在SAP发现问题之外,在虚拟机器上也发现了问题,同时在银行系统上也有问题,因为他们也存在数据传输交换,所以也存在这些问题。这并不是跟SAP一家有关的,我们知道这个有严重,所以第一例是我们发现的。
记者:像贵公司能不能起到一些作用?
Alexander Polyakov:这主要分为三个层次,第一个职权是有很明确的划分,一个用户只能做一项工作,不能做其他的工作,要有明确的授权。第二方面就是技术方面的工作,比如以前存在配制不好的,或者有问题的配制,或者技术里面存在一些技术漏洞要进行解决。第三就是定制的原代码一样,因为两家里面,不可能有同样的SAP,所以做这些代码的时候也存在一些漏洞。这是第三个原因。所以我现在给他们做这方面的帮助,怎么样持续去监控这三个方面,在SAP的产品上持续监控。
记者:这次参加中国的RSA,是有相关市场推广计划还是有其他原因?
Alexander Polyakov:这次主要到中国来,主要跟大家分享自己的技术,因为全球经常有这样的活动,比如说经常去一些美国和欧洲,跟他们分享研究的成果。亚洲地区,除了马来西亚之外,这次是第一次到亚洲来了解和分享技术方面的成果。当然,如果能找到一个合作伙伴,也非常高兴。
记者:中国用户对ERPScan公司了解不是很多,能不能请您具体聊一下公司情况。
Alexander Polyakov:实际上我们公司整体是2002年在俄罗斯成立,做一些咨询和推广方面的应用,应用里面也包括两个方面,一个是具体应用程序,还有网络方面的安全应用。在五年前做出另外一个决策,想要选择具体的领域,专注这方面的安全,然后把这个推广到全球去。所以五年前专注于一个领域,就是SAP,也成为SAP里面的第一个业务伙伴,然后每年发现100个左右SAP的漏洞。
记者:那和SAP的合作是战略的还是松散的?
Alexander Polyakov:在一开始好几年,跟SAP合作都像志愿者一样,但是从去年开始,进入到战略伙伴,属于战略性的。我们的合作是从五年前开始的,当时第一次发现SAP漏洞。
记者:这跟五年前你们决定进行业务细分有关联吗?
Alexander Polyakov:是的,一开始他们能够去做一些SAP方面的合作,其实最开始做过包括微软的,现在只是针对SAP,其他的系统再过半年再来开发,就是针对其他的系统,除了SAP之外。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者