ERPScan – Sigurimi i Aplikimeve të Biznesit të SAP dhe Oracle Enterprise


Në këtë intervistë me Alexander Polyakov, themeluesi dhe CTO i ERPScan, ne diskutojmë një formë relativisht të re, ose të paktën relativisht të panjohur, të zbulimit të ndjeshmërisë së sigurisë. Siç shpjegon Alexander, mjetet tradicionale të cenueshmërisë nuk adresojnë me të vërtetë aplikacionet e biznesit siç janë SAP, PeopleSoft ose aplikacione të tjera të biznesit të ndërmarrjes. Në vend të kësaj, ata përqendrohen vetëm në pikat e fundit, bazën e të dhënave, sistemet operative dhe rrjetet.

Përveç përshkrimit të kompleteve të monitorimit të sigurisë së kompanisë së tij për SAP dhe PeopleSoft, Alexander ndan edhe dobësitë më kritike dhe disa “interesante” të SAP, si dhe se si ai e sheh të ardhmen e fushës së sigurisë kibernetike

Farë po bëtë para se të themelonit ERPScan?

Kam studiuar sigurinë në universitet dhe më pas kam shkuar për të punuar në një kompani të sigurisë, ku kam kaluar rreth pesë vjet duke bërë testimin e depërtimit kundër sistemeve të mëdha. Unë isha i ri dhe ishte ndjenja e ftohtë që mund të hyja në çdo sistem që u përpoqa të hyja brenda.

Pas pesë vjetësh, desha të tregoja jo vetëm dobësitë, por doja t’i ndihmoja njerëzit në adresimin dhe parandalimin e atyre sulmeve të mundshme. Në atë pikë, unë kam pasur shumë përvojë me sigurinë e bazës së të dhënave Oracle, madje kam shkruar një libër për të.

Gjatë një prej projekteve të mia të vlerësimit të sigurisë, zbulova SAP për herë të parë. Mësova shpejt se pothuajse nuk kishte informacion mbi sigurinë dhe dobësitë e SAP. Unë atëherë shokova menaxhimin duke qenë në gjendje të hyja në sistemin SAP në më pak se 15 minuta! Vazhdova të bëja më shumë hulumtime në lidhje me sigurinë e SAP dhe pas dy vjet bërjes së vlerësimeve të sigurisë së SAP, kuptova që numri i cenueshmërisë ishte aq i madh sa duhej të automatizonim procesin.

Ju jeni gjithashtu presidenti i një organizate të quajtur EAS-SEC – çfarë saktësisht është kjo?

EAS-SEC është Projekti i Sigurisë së Aplikimit të Ndërmarrjeve. Shtë një projekt i ngjashëm me OWASP (Hapni Sigurinë e Aplikimit të Aplikimit në Ueb), përveç që EAS-SEC përqendrohet në aplikimet e biznesit. Fillimisht ishte pjesë e OWASP, por meqenëse ka nevoja të ndryshme, ajo u nda në një grup të veçantë.

Produkti juaj i sigurisë është i pazakontë në atë që po synon një aplikacion specifik. Pse vendosët të zbatonit atë qasje?

Siç e përmenda, unë isha jashtëzakonisht e tronditur që një sistem kaq i madh, kritik ishte aq i prekshëm. Mjetet tradicionale të cenueshmërisë në të vërtetë nuk adresojnë aplikacionet – ato përqendrohen në bazat e të dhënave, sistemet operative dhe rrjetet. Megjithatë, qëllimi përfundimtar i sulmuesve, dhe çfarë ata vërtet dëshironi, është qasja në të dhënat aktuale. Hyrja në pikat e fundit, rrjetet dhe bazat e të dhënave është vetëm një mjet për në fund. Ne vendosëm të përqëndrohemi dhe të mbrojmë pasurinë më kritike – vetë të dhënat.

Ju lutemi më jepni një përmbledhje të Suite të Monitorimit të Sigurisë së ERPScan për SAP.

Shumica e mjeteve të cenueshmërisë nuk e testojnë as SAP. Siti ynë i monitorimit të sigurisë është një zgjidhje që mbulon tre çështjet kryesore të sigurisë së aplikacionit që produktet tradicionale të sigurisë nuk i adresojnë. Ne e kemi hartuar këtë zgjidhje në mënyrë që edhe pse është specifike për aplikime, ajo kuptohet dhe përdoret lehtësisht nga stafi i sigurisë, jo vetëm nga zhvilluesit dhe administratorët e SAP. Ne i përkthejmë ngjarjet e SAP në gjuhë që stafi i sigurisë e kupton.

Procesi ynë fillon me skanimin, monitorimin dhe gjenerimin e raporteve fillestare. Hapi përtej kësaj është që ne ofrojmë më shumë analiza dhe analiza të tendencave. Nëse një ndërmarrje ka shumë sisteme SAP të instaluar, ne hartojmë se si janë të lidhura.

Më në fund, ne përpiqemi të automatizojmë procesin e sanimit. Ne aktualisht ofrojmë mundësinë e korrigjimit automatik të dobësive në kodin burimor duke gjeneruar kodin e nevojshëm.

përfitimet erpscan

Cilat janë tre çështje kryesore të sigurisë që ju kërkoni në SAP?

Tri fushat kryesore të sigurisë në të cilat përqendrohemi janë:

  1. Ndarja e detyrave – Një përdorues i vetëm nuk duhet të jetë në gjendje të kryejë dy veprime të ndryshme kritike në sistem (p.sh. të krijojë një shitës dhe të krijojë një urdhër pagese).
  2. Siguria e Platformës së Aplikimit – Këto janë dobësi të vetë platformës, kryesisht të gjitha llojet e konfigurimeve të pasakta.
  3. Ështjet e personalizimit – SAP është një kornizë dhe kompanitë ndërtojnë softuer mbi të. Shumë operacione të nivelit të ulët mund të kryhen duke përdorur gjuhën e programimit SAP ABAP. Këto dobësi janë të vështira për tu zbuluar, edhe me mjete automatike.

Ju mund të mësoni më shumë rreth gjendjes së dobësive dhe sulmeve të SAP në këtë prezantim:

Uebfaqja juaj gjithashtu flet shumë për Oracle dhe PeopleSoft. Keni edhe produkte për ato platforma?

SAP është kompania lider në hapësirën e aplikimit të ndërmarrjes, por vitin e kaluar lëshuam gjithashtu një version të suitit tonë të mjeteve për Oracle PeopleSoft. Tregu për produktin PeopleSoft është ende në fillimet e tij – na janë dashur shtatë vjet për të ndërtuar tregun për produktin tonë të sigurisë SAP.

Për sa i përket numrave të të ardhurave, tani është 90% SAP dhe 10% PeopleSoft, por pres që të ndryshojë ndërsa rritet dhe piqet tregu.

Ju gjithashtu ofroni shërbime të testimit të sigurisë dhe auditimit. A përbëjnë ato një pjesë të konsiderueshme të të ardhurave tuaja? Kur dhe pse organizatat zakonisht ju punësojnë për ato shërbime?

Ofertat e shërbimeve tona janë pak më ndryshe nga produktet tona. Me shërbimet tona, ne do të studiojmë dhe analizojmë pothuajse çdo aplikim biznesi, përfshirë aplikacione komerciale dhe porosi. Këto angazhime të shërbimit përbëjnë rreth 15% të të ardhurave tona sot.

Këto angazhime janë zakonisht takimi ynë i parë me klientë të rinj. Ata duan të sigurojnë vendosjen e tyre të SAP, por nuk janë vërtet të sigurt për cenueshmërinë e tyre. Rezultatet e testimit dhe angazhimit tonë të auditimit shpesh do t’i ndihmojnë ata të justifikojnë koston e mjeteve të automatizuara.

Ne gjithashtu ofrojmë shërbime profesionale për të ndihmuar në mbështetjen dhe menaxhimin e proceseve të ndryshme rreth produktit tonë aktual. Zakonisht ndërmarrjet dhe instalimet më të mëdha zgjedhin të përfitojnë nga këto shërbime.

Unë mendoj se ju keni një treg shumë specifik të synuar për produktin tuaj.

Për sa i përket madhësisë së kompanisë, 90% e klientëve tanë janë kompani Fortune 2000. Parametri tjetër është se ata kanë një instalim të SAP ose PeopleSoft (nganjëherë të dy).

konferencë erpscan

Sa klientë aktivë keni sot? Ku janë vendosur kryesisht?

Aktualisht kemi rreth 130 klientë, kryesisht ndërmarrje të mëdha. Për sa i përket vendndodhjes:

  • 35-40% – SH.B.A.
  • 35-40% – Evropë
  • Mbetja – Azi

Si do ta përshkruanit klientin tuaj tipik aktual?

Vertikale apo industri e veçantë nuk kanë me të vërtetë rëndësi për ne, megjithëse kemi kontrolle të ndryshme për industri specifike.

Industritë më të njohura për ne aktualisht janë:

  • Vaj dhe gaz
  • prodhimit
  • me pakicë
  • teknologji

Kush janë disa nga klientët tuaj më të mëdhenj?

Këtu është një listë e disa prej klientëve tanë më të mëdhenj, përfshirë Edeka, e cila është korporata më e madhe e supermarketeve në Gjermani.

klientët erpscan

A shihni një trend të produkteve më të sigurisë specifike për aplikim në vitet e ardhshme?

Raporte të ndryshme të analistëve thonë se ERP (Planifikimi i Burimeve të Ndërmarrjeve) dhe siguria e aplikimit të biznesit janë një nga tendencat kryesore të ardhshme. Unë do të theksoj përsëri se siguria e aplikimit të biznesit është shumë e ndryshme nga siguria tradicionale e aplikacionit, e cila është kryesisht vetëm faqet e internetit.

Cilat janë disa nga tendencat ose ndryshimet e tjera që shihni që vijnë në tregun e sigurisë kibernetike?

Prirja e dukshme është se shumica e kompanive po përpiqen të zbulojnë sulme në sistemet e tyre. Fatkeqësisht, shumica e njerëzve nuk duan të merren me dobësitë aktuale, sepse është shumë punë. Në vend të kësaj, ata zgjedhin të reagojnë vetëm ndaj sulmeve. Sigurisht, kjo nuk është zgjidhja më e mirë! Kompanitë duhet të përpiqen të eleminojnë sa më shumë dobësi të jetë e mundur, në mënyrë që ata vetëm të duhet të reagojnë ndaj sulmeve të pakta të mbetura. Pasi të jeni sulmuar, tashmë jeni viktimë.

Cilat janë planet tuaja në të ardhmen për ERPScan?

Tre qëllimet tona kryesore afatshkurtra për ERPScan janë:

  1. Zhvillimi i një moduli të integruar për zbulimin e sulmit
  2. Depërtim më i madh në tregun e PeopleSoft
  3. Zgjerimi i biznesit tonë të shërbimeve profesionale

Sa punonjës keni sot? Ku janë të vendosura?

Kemi 55-60 punonjës sot. SHP dhe forca e shitjeve janë në Palo Alto me prezencë lokale në dhe Dallas, Boston, ndërsa pjesa tjetër e ekipit është Amsterdam me R&D në Pragë. Ne gjithashtu kemi ekipe të shitjeve dhe marketingut në Kopenhagë, dhe Sidnei.

Sa orë në ditë punoni normalisht? Farë ju pëlqen të bëni kur nuk jeni duke punuar?

Në ditët e mëparshme të kompanisë, unë punoja ditë 14-orë. Tani jam duke u përpjekur të jem jashtëzakonisht i përqendruar dhe të punoj vetëm rreth 8 orë në ditë.

Kur nuk jam duke punuar, më pëlqen lloje të ndryshme të sporteve të veprimit, të tilla si surfing, hipje në konvikt dhe hipur në marifet me motor.

 

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map