ERPScan – SAP və Oracle Enterprise Biznes Tətbiqlərini təmin etmək


ERPScan’ın qurucusu və CTO Alexander Polyakov ilə bu görüşümüzdə, təhlükəsizlik zəifliyinin aşkarlanmasının nisbətən yeni və ya ən azı nisbətən naməlum bir formasını müzakirə edirik. Aleksandrın izah etdiyi kimi, ənənəvi zəiflik alətləri SAP, PeopleSoft və ya digər müəssisə iş tətbiqetmələri kimi iş tətbiqetmələrinə həqiqətən müraciət etmir. Bunun əvəzinə, onlar yalnız son nöqtələrə, verilənlər bazasına, əməliyyat sistemlərinə və şəbəkələrə diqqət yetirirlər.

Şirkətinin SAP və PeopleSoft üçün təhlükəsizlik monitorinqi paketlərini izah etməkdən əlavə, Alexander həm ən kritik, həm də digər “maraqlı” SAP zəifliklərini bölüşür, həmçinin kiber təhlükəsizlik sahəsinin gələcəyini necə görür

ERPScan qurmadan əvvəl nə edirdiniz?

Universitetdə təhlükəsizlik təhsili aldım və sonra bir təhlükəsizlik şirkətində işə getdim, burada təxminən beş il böyük sistemlərə qarşı giriş testini keçirdim. Gənc idim və içimə girməyə çalışdığım hər hansı bir sistemə girə biləcəyim xoş bir hiss idi.

Beş ildən sonra mən yalnız zəiflikləri qeyd etmək istəmədim, amma insanlara bu potensial hücumların qarşısını almağa və qarşısını almağa kömək etmək istədim. O zaman Oracle verilənlər bazası təhlükəsizliyi ilə bağlı çox təcrübəm var idi və hətta bu barədə bir kitab da yazdım.

Təhlükəsizlik qiymətləndirmə layihələrimdən birində SAP-ı ilk dəfə kəşf etdim. Tez öyrəndim ki, SAP təhlükəsizliyi və zəif tərəfləri haqqında demək olar ki, heç bir məlumat yoxdur. Bundan sonra 15 dəqiqədən az bir müddətdə SAP sisteminə girə bilməklə idarəetməni şok etdim! SAP təhlükəsizliyi ilə bağlı daha çox araşdırma aparmağa davam etdim və iki il SAP təhlükəsizlik qiymətləndirmələrini etdikdən sonra başa düşdüm ki, zəifliklərin sayı o qədər çox idi ki, prosesi avtomatlaşdırmalı olduq.

Siz həmçinin EAS-SEC adlı bir qurumun prezidentisiniz – tam olaraq nədir?

EAS-SEC Müəssisə Tətbiqi Təhlükəsizlik Layihəsidir. EAS-SEC iş tətbiqləri üzərində fokuslanmasından başqa OWASP (Açıq Veb Tətbiq Təhlükəsizliyi Proyekti) ilə oxşar bir layihədir. Əvvəlcə OWASP-nin bir hissəsi idi, lakin fərqli ehtiyacları olduğu üçün ayrı bir qrupa ayrıldı.

Təhlükəsizlik məhsulunuz bir xüsusi tətbiqetməni hədəf aldığı üçün qeyri-adi haldır. Niyə belə yanaşmağa qərar verdiniz?

Qeyd etdiyim kimi, belə böyük, kritik bir sistemin bu qədər həssas olduğuna görə çox şok oldum. Ənənəvi zəiflik vasitələri həqiqətən tətbiqlərə müraciət etmir – məlumat bazalarına, əməliyyat sistemlərinə və şəbəkələrə diqqət yetirirlər. Ancaq təcavüzkarların son hədəfi və nə həqiqətən İstəyirəm, həqiqi məlumatlara çıxış əldə edir. Son nöqtələrə, şəbəkələrə və verilənlər bazalarına girmək yalnız sona çatmaq üçün bir vasitədir. Əsas kritik varlığa – məlumatın özünə diqqət yetirməyi və qorumağı qərara aldıq.

Xahiş edirəm mənə SAP üçün ERPScan Təhlükəsizlik Monitorinq Suite haqqında ümumi məlumat verin.

Əksərlik alətləri hətta SAP sınamır. Təhlükəsizlik monitorinqi dəsti, ənənəvi təhlükəsizlik məhsullarının müraciət etmədiyi üç əsas tətbiqi təhlükəsizlik məsələsini əhatə edən bir həlldir. Bu həlli elə tərtib etdik ki, tətbiq üçün xarakterik olsa da, yalnız SAP hazırlayıcıları və idarəçiləri deyil, təhlükəsizlik işçiləri tərəfindən asanlıqla başa düşülür və istifadə olunur. SAP hadisələrini təhlükəsizlik işçilərinin başa düşdüyü dilə tərcümə edirik.

Prosesimiz tarama, monitorinq və ilkin hesabatların hazırlanması ilə başlayır. Bunun xaricindəki addım daha çox analiz və meyl təhlili təqdim etməyimizdir. Bir müəssisədə çox sayda SAP sistemi quraşdırılıbsa, onların necə bağlandığını göstəririk.

Nəhayət, bərpa prosesini avtomatlaşdırmağa çalışırıq. Hal-hazırda zəruri kodu yaratmaqla mənbə kodundakı zəifliklərin avtomatik düzəldilməsi seçimini təklif edirik.

erpscan faydaları

SAP-da axtardığınız üç əsas təhlükəsizlik məsələsi nədir??

Diqqət etdiyimiz üç əsas təhlükəsizlik sahəsi bunlardır:

  1. Vəzifə bölgüsü – Tək bir istifadəçi normal olaraq sistemdə iki fərqli kritik əməliyyatı yerinə yetirə bilməməlidir (məsələn, satıcı yaradın və ödəniş sifarişini yaradın).
  2. Tətbiq platforması təhlükəsizliyi – Bunlar platformanın özünün zəif tərəfləridir, əsasən səhv tipli konfiqurasiyaları.
  3. Özəlləşdirmə məsələləri – SAP bir çərçivədir və şirkətlər bunun üstündə proqram qururlar. Bir çox aşağı səviyyəli əməliyyatlar SAP ABAP proqramlaşdırma dilindən istifadə etməklə həyata keçirilə bilər. Bu zəiflikləri, hətta avtomatik alətlərlə də tapmaq çətindir.

SAP zəifliyi və hücumların vəziyyəti haqqında bu təqdimatda daha çox məlumat əldə edə bilərsiniz:

Veb saytınız Oracle və PeopleSoft haqqında da çox danışır. O platformalar üçün məhsullarınız varmı??

SAP, müəssisə tətbiq sahəsindəki lider şirkətdir, ancaq keçən il Oracle PeopleSoft üçün alət dəstimiz versiyasını da buraxdıq. PeopleSoft məhsulu üçün bazar hələ körpəlikdədir – SAP təhlükəsizlik məhsulumuz üçün bazar qurmaq üçün yeddi il vaxt tələb olundu.

Gəlirlərin sayı baxımından hazırda 90% SAP və 10% PeopleSoft-dir, amma bazarın böyüdükcə və böyüdükcə dəyişəcəyini gözləyirəm.

Təhlükəsizlik testi və audit xidmətləri də təklif edirsiniz. Gəlirlərinizin əhəmiyyətli bir hissəsini onlar təşkil edirmi? Təşkilatlar nə vaxt və nə üçün ümumiyyətlə sizi bu xidmətlər üçün işə götürürlər?

Xidmət təkliflərimiz məhsullarımızdan bir az fərqlidir. Xidmətlərimizlə, həm kommersiya, həm də xüsusi tətbiqetmələr daxil olmaqla demək olar ki, hər hansı bir iş tətbiqini araşdıracağıq və təhlil edəcəyik. Bu xidmət tapşırıqları bu gün əldə etdiyimiz gəlirin 15% -ni təşkil edir.

Bu nişanlar ümumiyyətlə yeni müştərilərlə ilk görüşümüzdür. SAP yerləşdirmələrini təmin etmək istəyirlər, lakin onların zəifliyinə tam əmin deyillər. Test və audit tapşırıqlarımızın nəticələri tez-tez onlara avtomatlaşdırılmış alətlərin dəyərini əsaslandırmağa kömək edəcəkdir.

Həqiqi məhsulumuz ətrafında müxtəlif prosesləri dəstəkləmək və idarə etmək üçün peşəkar xidmətlər də təklif edirik. Adətən daha böyük şirkətlər və qurğular bu xidmətlərdən yararlanmağı seçirlər.

Güman edirəm məhsulunuz üçün çox xüsusi hədəf bazarınız var.

Şirkət ölçüsü baxımından müştərilərimizin 90% -i Fortune 2000 şirkətləridir. Digər parametr, SAP və ya PeopleSoft (bəzən hər ikisi) bir quruluşa sahib olmasıdır.

erpscan konfransı

Bu gün neçə aktiv müştəriniz var? Əsasən harada yerləşirlər?

Hal-hazırda təxminən 130 müştərimiz var, əsasən də iri müəssisələr. Məkan baxımından:

  • 35-40% – ABŞ
  • 35-40% – Avropa
  • Qalıq – Asiya

Cari tipik müştərinizi necə təsvir edərdiniz?

Xüsusi şaquli və ya sənayenin bizim üçün əsla əhəmiyyəti yoxdur, baxmayaraq ki, müəyyən sahələr üçün müxtəlif yoxlamalar aparırıq.

Hal-hazırda bizim üçün ən populyar sahələr:

  • Neft və qaz
  • İstehsalat
  • Pərakəndə
  • Texnologiya

Ən böyük müştəriləriniz kimlərdir?

Almaniyanın ən böyük supermarket korporasiyası olan Edeka da daxil olmaqla ən böyük müştərilərimizin siyahısı.

erpscan müştəriləri

Önümüzdəki illərdə daha çox tətbiqetmənin təhlükəsizlik məhsullarının inkişaf tendensiyasını görürsünüzmü??

Müxtəlif analitik hesabatları ERP (Enterprise Resource Planning) və iş tətbiqi təhlükəsizliyinin əsas qarşıdakı tendensiyalardan biri olduğunu ifadə edir. Bir daha vurğulayacağam ki, iş tətbiqi təhlükəsizliyi əsasən veb saytlardan ibarət olan ənənəvi tətbiq təhlükəsizliyindən çox fərqlidir.

Kiber təhlükəsizlik bazarında gördüyünüz digər meyllər və ya dəyişikliklər hansılardır??

Aydın tendensiya, əksər şirkətlərin sistemlərinə hücumlar aşkarlamağa çalışmasıdır. Təəssüf ki, insanların çoxu faktiki zəifliklərlə məşğul olmaq istəmir, çünki bu çox işdir. Bunun əvəzinə yalnız hücumlara reaksiya verməyi seçirlər. Əlbəttə ki, bu ən yaxşı həll yolu deyil! Şirkətlər mümkün qədər çox həssaslığı aradan qaldırmağa çalışmalıdırlar ki, yalnız qalan az sayda hücumlara reaksiya versinlər. Bir hücuma məruz qaldıqdan sonra artıq qurbansınız.

ERPScan üçün gələcək planlarınız nələrdir?

ERPScan üçün ən yaxşı üç qısamüddətli hədəfimiz:

  1. Hücumun aşkarlanması üçün inteqrasiya olunmuş bir modul hazırlamaq
  2. PeopleSoft bazarına daha böyük nüfuz
  3. Peşəkar xidmətlərimizi genişləndiririk

Bu gün neçə işçiniz var? Harada yerləşirlər?

Bu gün 55-60 işçimiz var. HQ və satış qüvvəsi Bostonda və Dallasda yerli iştirakı ilə Palo Alto-dadır, komandanın qalan hissəsi R ilə Amsterdamdadır&Praqada D. Kopenhagendə və Sidneydə də satış və marketinq qruplarımız var.

Gündə neçə saat işləyirsən? İşləməyəndə nə etməyi sevirsən?

Şirkətdən əvvəlki günlərdə 14 saat işləyirdim. Artıq son dərəcə diqqətli olmağa və gündə yalnız 8 saat işləməyə çalışıram.

İşləmədiyim zaman müxtəlif növ idman növlərindən, məsələn, sörf, oyaq oturmaq və motosiklet stunt sürməkdən zövq alıram.

 

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map