科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Polyakov:警惕针对关键业务应用的新威胁

Polyakov:警惕针对关键业务应用的新威胁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在2012RSA中国信息安全大会期间,ERPScan公司,首席技术官Alexander Polyakov做了题为《SSRF:针对关键业务应用的新威胁》的演讲,并接受了媒体记者的采访。

来源:比特网 2012年9月3日

关键字: 漏洞 SAP RSA大会

  • 评论
  • 分享微博
  • 分享邮件

  在2012RSA中国信息安全大会期间,ERPScan公司,首席技术官Alexander Polyakov做了题为《SSRF:针对关键业务应用的新威胁》的演讲,并接受了媒体记者的采访。

  记者:您去年在黑帽大会期间,曾经指出SAP存在漏洞,这个漏洞有多严重?造成什么样的后果?

  Alexander Polyakov:有什么漏洞呢,可以让黑客在里面生成一个新的用户,表现行为是什么方式呢,就像一个合法管理员,但是这个是没有经过授权的。它这个实际上通过门户网站,很容易从互联网上找到这样一个漏洞。

  记者:最近发现新的漏洞,有什么防控的办法?

  Alexander Polyakov:很遗憾我们现在传统的措施是无法防止这种漏洞,如果你要是有这样具体的系统,我们必须要找具体的,改变传统的方法去解决这个漏洞。

  记者:我想问一下,之前对ERPScan产品做过一些了解,它可能专注于SAP的漏洞,这些漏洞如果不修复的话,会产生什么严重的后果,因为之前甲骨文曾经爆出一个四年前的漏洞,它就是拒绝修复,对用户造成很大的怨言,这种情况是不是说漏洞,是有必要都要修复吗?

  Alexander Polyakov:这个我们必须解决,因为像这样一些漏洞,都是服务器端的,都是能够在互联网上直接攻击,和甲骨文不一样,它可以通过互联网去攻击,所以必须修复。

  记者:你上午讲到SSRF攻击向量,跟传统最大的区别在这里吗?就是暴露在互联网上?

  Alexander Polyakov:这个不一样的,因为传统攻击都是比较直接的攻击,而现在这种攻击都是间接方式攻击的。对这个数据包分析的话,很难去发现新的攻击。这

  记者:现在ERPScan产品是否能够对这个向量做出有效的防御呢?

  Alexander Polyakov:这个就是说,主要是结合ERPScan的产品。然后做一些检查,通过六个月或者三年的周期,对一些攻击做出一些检查。

  记者:我从ERPScan的官网上看到,有很多安全厂商的合作伙伴,还有SAP的合作伙伴,它的产品定位是什么产品定位呢?会不会和产品安全,像和杀毒软件产生什么冲突呢?

  Alexander Polyakov:一般我们平常扫描软件,杀毒软件,它涉及不是某个具体的环节,是全方面的,他们对SAP的查找很少,即便有也很少,而我们是专门针对SAP查找有六千多个,而且都是定制的,所以里面有上千个参数,所以跟标准的杀毒软件是不一样的。

  记者:如果没有登陆的话,能产生SSRF攻击吗?

  Alexander Polyakov:攻击SAP的时候,就不用去登陆。有时候多数情况下,需要登陆的。

  只要这个漏洞可以利用,就可以攻击。

  记者:新型的攻击是否会引起大范围的潜在的威胁呢?

  Alexander Polyakov:这个目前是刚开始的,目前发现的时候案例还是为数不多,但是这是一种新的攻击向量,会再去考察是否有大的潜在威胁存在。

  记者:我想问一下,根据现在风险报告披露的数据,针对于定制应用的攻击增加,想问一下产生这个方面的原因。

  Alexander Polyakov:因为以前的攻击都是对原有的操作系统,所以有很多安全措施,而我们定制性的措施就像封闭墙一样,以往并没有引起太多的注意和关注,所以这也是为什么现在定制应用出现了攻击上升的趋势。

  记者:我想问除了SAP之外,新的风险是否已经出现,是什么原因造成的?

  Alexander Polyakov:除了我在SAP发现问题之外,在虚拟机器上也发现了问题,同时在银行系统上也有问题,因为他们也存在数据传输交换,所以也存在这些问题。这并不是跟SAP一家有关的,我们知道这个有严重,所以第一例是我们发现的。

  记者:像贵公司能不能起到一些作用?

  Alexander Polyakov:这主要分为三个层次,第一个职权是有很明确的划分,一个用户只能做一项工作,不能做其他的工作,要有明确的授权。第二方面就是技术方面的工作,比如以前存在配制不好的,或者有问题的配制,或者技术里面存在一些技术漏洞要进行解决。第三就是定制的原代码一样,因为两家里面,不可能有同样的SAP,所以做这些代码的时候也存在一些漏洞。这是第三个原因。所以我现在给他们做这方面的帮助,怎么样持续去监控这三个方面,在SAP的产品上持续监控。

  记者:这次参加中国的RSA,是有相关市场推广计划还是有其他原因?

  Alexander Polyakov:这次主要到中国来,主要跟大家分享自己的技术,因为全球经常有这样的活动,比如说经常去一些美国和欧洲,跟他们分享研究的成果。亚洲地区,除了马来西亚之外,这次是第一次到亚洲来了解和分享技术方面的成果。当然,如果能找到一个合作伙伴,也非常高兴。

  记者:中国用户对ERPScan公司了解不是很多,能不能请您具体聊一下公司情况。

  Alexander Polyakov:实际上我们公司整体是2002年在俄罗斯成立,做一些咨询和推广方面的应用,应用里面也包括两个方面,一个是具体应用程序,还有网络方面的安全应用。在五年前做出另外一个决策,想要选择具体的领域,专注这方面的安全,然后把这个推广到全球去。所以五年前专注于一个领域,就是SAP,也成为SAP里面的第一个业务伙伴,然后每年发现100个左右SAP的漏洞。

  记者:那和SAP的合作是战略的还是松散的?

  Alexander Polyakov:在一开始好几年,跟SAP合作都像志愿者一样,但是从去年开始,进入到战略伙伴,属于战略性的。我们的合作是从五年前开始的,当时第一次发现SAP漏洞。

  记者:这跟五年前你们决定进行业务细分有关联吗?

  Alexander Polyakov:是的,一开始他们能够去做一些SAP方面的合作,其实最开始做过包括微软的,现在只是针对SAP,其他的系统再过半年再来开发,就是针对其他的系统,除了SAP之外。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章