امنیت در مدیریت منابع سازمانی

امنیت در مدیریت منابع سازمانی، گستره وسیعی از تمهیداتی است که به منظور حفاظت از سامانه‌های مدیریت منابع سازمانی (به اختصار: ای آر پی^{[پانویس ۱]})، در مقابل دسترسی غیرمجاز، به کار گرفته می‌شوند؛ تا از تمامیت و در دسترس بودن داده‌های سامانه اطمینان حاصل کنند. سامانه مدیریت منابع سازمانی یک نرم‌افزار کامپیوتری است که به جهت یکپارچه کردن اطلاعات کاربردی برای مدیریت یک سازمان از جمله تولید، مدیریت زنجیره تأمین، مدیریت مالی، مدیریت منابع انسانی، مدیریت ارتباط با مشتری و مدیریت کارایی کسب و کار، به کار برده می‌شود.

چکیده[ویرایش]

سامانه ای آر پی^{[پانویس ۱]} فرایندهای کسب و کار را با یکدیگر ادغام می‌کند که این فرایندها مواردی همچون تدارکات، حمل و نقل، مدیریت منابع انسانی، مدیریت تولید و برنامه‌ریزی مالی را ممکن می‌سازند.^[۱] از آنجایی که این سامانه اطلاعات محرمانه را ذخیره می‌کند، انجمن حسابرسی و کنترل سامانه‌های اطلاعاتی (به اختصار: آیساکا^{[پانویس ۲]}) توصیه می‌کند به‌طور منظم یک ارزیابی جامع از امنیت سامانه ای آر پی^{[پانویس ۱]} انجام شود تا آسیب‌پذیری‌های نرم‌افزاری، خطاهای پیکربندی، تداخلات در تفکیک وظایف، پیروی از استانداردها و توصیه‌های مربوط و همچنین توصیه‌های عرضه‌کنندگان، در سرویس دهنده‌های سامانه ای آر پی^{[پانویس ۱]} وارسی شود.^[۲]^[۳]

علل ایجاد آسیب‌پذیری در سامانه‌های ای آر پی[ویرایش]

پیچیدگی[ویرایش]

سامانه‌های ای آر پی^{[پانویس ۱]} تراکنش‌هایی را پردازش می‌کنند و رویه‌هایی را به کار می‌بندند تا مطمئن شوند کاربران مجوزهای دسترسی متفاوتی دارند. صدها شیء مجوز دهنده در سامانه شرکت اس آ پی (به انگلیسی: SAP) وجود دارد که به کاربران اجازه انجام عملیات‌های مختلف را می‌دهند. به عنوان مثال، در صورتی که شرکت ۲۰۰ کاربر داشته باشد، به‌طور تقریبی ۸۰۰٬۰۰۰ (۱۰۰*۲*۲۰*۲۰۰) روش برای شخصی‌سازی تنظیمات امنیتی سامانه‌های ای آر پی^{[پانویس ۱]} وجود دارد.^[۴] با افزایش پیچیدگی، احتمال بروز خطا و تداخل در تفکیک وظایف نیز افزایش می‌یابد.^[۲]

به خصوص بودن[ویرایش]

عرضه‌کنندگان، آسیب‌پذیری‌ها را به‌طور منظم برطرف می‌کنند زیرا هکرها برنامه‌های تجاری را رصد می‌کنند تا مشکلات امنیتی را بیابند و از آن‌ها سوء استفاده کنند. شرکت اس آ پی به‌طور ماهانه پچ‌های خود را در روز Patch Tuesday (به فارسی: سه شنبه مخصوص پچ) منتشر می‌کند، اوراکل (به انگلیسی: Oracle) نیز هر سه ماه تعمیرات امنیتی را در Oracle Critical Patch Update (به فارسی: بروز رسانی‌های مهم پچ اوراکل) منتشر می‌کند. هر چه می‌گذرد، برنامه‌های تجاری بیشتر در معرض اینترنت و مهاجرت به فضای ابری قرار می‌گیرند.^[۵]

فقدان متخصصان شایسته و کاربلد[ویرایش]

مطالعه ای^[۶] در زمینه امنیت سایبری سامانه ای آر پی^{[پانویس ۱]} نشان داد سازمان‌هایی که از سامانه‌های ای آر پی^{[پانویس ۱]} استفاده می‌کنند، «با فقدان یا کمبود در هر دو زمینه آگاهی و کنش‌های انجام گرفته در راستای تأمین امنیت این سامانه، مواجه هستند».^[۷] آیساکا^{[پانویس ۲]} اظهار دارد «با کمبود کارکنان تعلیم دیده در زمینه امنیت ای آر پی^{[پانویس ۱]} مواجه هستیم».^[۴] مضاف بر آن، سرویس‌های امنیتی درک ناکافی از خطرات و تهدیدات مربوط به سامانه‌های ای آر پی^{[پانویس ۱]} دارند. در نتیجه انجام تعهداتی از قبیل کشف، و به دنبال آن، برطرف کردن آسیب‌پذیری‌های امنیتی، پیچیده و دشوار می‌شود.^[۸]^[۵]

فقدان ابزارهای وارسی کننده امنیت[ویرایش]

وارسی امنیتی سامانه ای آر پی^{[پانویس ۱]} به‌طور دستی انجام می‌شود، چراکه ابزارهای متعدد همراه با بسته‌های نرم‌افزاری ای آر پی،^{[پانویس ۱]} روش یا وسیله ای برای وارسی امنیتی سامانه فراهم نمی‌کنند. وارسی دستی یک فرایند پیچیده و زمانبر است که احتمال بروز خطا را افزایش می‌دهد.^[۲]

تعداد زیاد تنظیمات شخصی‌سازی شده[ویرایش]

سامانه یادشده، شامل هزاران پارامتر و تنظیمات ریز و جزئی از جمله تفکیک وظایف برای تراکنش‌ها و جداول می‌شود و پارامترهای امنیتی برای هر سامانه به‌طور مجزا تنظیم شده‌است. تنظیمات سامانه ای آر پی^{[پانویس ۱]} مطابق نیازهای مشتریان شخصی‌سازی می‌شود.

مشکلات امنیتی در سامانه‌های ای آر پی[ویرایش]

مشکلات امنیتی در سامانه‌های ای آر پی در سطوح مختلفی رخ می‌دهد.

لایه شبکه[ویرایش]

شنود و دستکاری جریان اطلاعات

نبود رمزنگاری داده

در سال ۲۰۱۱ میلادی، متخصصین سنسپوست (به انگلیسی: Sensepost) پروتکل یا قرارداد^{[پانویس ۳]} دیاگ (به انگلیسی: DIAG^{[پانویس ۴]}) مورد استفاده برای انتقال داده از سرویس گیرنده (یا کلاینت) به سرویس دهنده (یا سرور) اس آ پی در سامانه ای آر پی^{[پانویس ۱]} این شرکت را، مورد بررسی و تحلیل قرار دادند. دو قطعه نرم‌افزاری کشف و اعلام شدند که اجازه شنود، رمزگشایی و دستکاری درخواست‌های سرویس دهنده-سرویس گیرنده شامل اطلاعات مهم و حیاتی را می‌دادند. این امر حملات مختلف از جمله حمله مرد میانی را ممکن می‌ساخت. دومین قطعه نرم‌افزاری مانند یک پروکسی (یا پیشکار^{[پانویس ۵]}) عمل می‌کند و برای تشخیص آسیب‌پذیری‌های جدید به وجود آورده شده بود. این قطعه اجازه دستکاری درخواست‌های واصله به سرویس دهنده و سرویس گیرنده را می‌داد.^[۹]

ارسال رمزعبور به صورت رمزنگاری نشده

در سامانه ای آر پی^{[پانویس ۱]} اس آ پی، این امکان وجود دارد که عملیات‌های مدیریتی را از طریق پروتکل تلنت (به انگلیسی: Telnet) اجرا کرد؛ که رمزهای عبور را رمزنگاری می‌کند.

آسیب‌پذیری‌ها در رمزنگاری یا پروتکل‌های احراز هویت

رمزنگاری به وسیله هش
رمزنگاری رمزعبورها به شیوه اکس اور (در دیاگ^{[پانویس ۴]} اس آ پی)
اصرار بر استفاده از پروتکل‌های اصالت سنجی منسوخ شده
پروتکل‌های اصالت سنجی نادرست

آسیب‌پذیری‌ها در پروتکل‌ها

پروتکل آر اف سی (به انگلیسی: RFC^{[پانویس ۶]}) به منظور اتصال دو سامانه از طریق پروتکل کنترل انتقال (به اختصار: تی سی پی^{[پانویس ۷]}) در ای آر پی^{[پانویس ۱]} شرکت اس آ پی به کار می‌رود. فراخوانی آر اف سی تابعی است که فراخوانی و اجرای یک ماژول (یا پودمان) کارکردی قرار گرفته در یک سامانه را ممکن می‌سازد. زبان برنامه‌نویسی آباپ (به انگلیسی: ABAP) که به منظور نوشتن برنامه‌های تجاری برای شرکت اس آ پی استفاده می‌شود، دارای توابعی برای ایجاد فراخوانی‌های آر فی سی است. چندین آسیب‌پذیری مهم در کتابخانه آر اف سی اس آ پی در نسخه‌های ۶ و ۷ کشف شده بود:^[۱۰]

تابع آر اف سی "RFC_SET_REG_SERVER_PROPERTY" اجازه تعیین یک استفاده انحصاری از سرویس دهنده آر اف سی را می‌دهد. اکسپلویت‌ها یا سوء استفاده از آسیب‌پذیری‌ها باعث قطع دسترسی کاربران مجاز می‌شوند. در نتیجه، امکان حمله منع سرویس فراهم می‌شود.
خطا در تابع آر اف سی "SYSTEM_CREATE_INSTANCE". سوء استفاده از این آسیب‌پذیری اجازه اجرای هر کد یا دستور دلخواهی را می‌دهد.
خطا در تابع آر اف سی "RFC_START_GUI". سوء استفاده از این آسیب‌پذیری نیز اجازه اجرای کد دلخواه را می‌دهد.
خطا در تابع آر اف سی "RFC_START_PROGRAM". سوء استفاده از این آسیب‌پذیری اجازه اجرای کد دلخواه یا به دست آوردن اطلاعات دربارهٔ پیکربندی سرویس دهنده آر اف سی را می‌دهد.
خطا در تابع آر اف سی "TRUSTED_SYSTEM_SECURITY". سوء استفاده از این آسیب‌پذیری اجازه جمع‌آوری اطلاعات درمورد کاربران و گروه‌های موجود در سرویس دهنده آر اف سی را می‌دهد.

یادداشت[ویرایش]

↑ ^۱٫۰۰ ^۱٫۰۱ ^۱٫۰۲ ^۱٫۰۳ ^۱٫۰۴ ^۱٫۰۵ ^۱٫۰۶ ^۱٫۰۷ ^۱٫۰۸ ^۱٫۰۹ ^۱٫۱۰ ^۱٫۱۱ ^۱٫۱۲ ^۱٫۱۳ ^۱٫۱۴ ^۱٫۱۵ ERP: Enterprise Resource Planning
↑ ^۲٫۰ ^۲٫۱ ISACA: the Information Systems Audit and Control Association
↑ فرهنگستان زبان و ادب فارسی، در رشته‌های مهندسی مخابرات و رایانه و فناوری اطلاعات، واژهٔ «قرارداد» را برابر «پروتکل» نهاده‌است. از جمله: «قراردادهای دسترسی» برابر «access protocols» در رشتهٔ مهندسی مخابرات و «قرارداد اینترنت» برابر «access protocols» در رشتهٔ رایانه و فناوری اطلاعات
↑ ^۴٫۰ ^۴٫۱ DIAG: Dynamic Information and Action Gateway
↑ پیشکار از واژه‌های مصوب فرهنگستان زبان و ادب فارسی به جای proxy یا proxy server در انگلیسی و در حوزهٔ رایانه است.
↑ RFC: Remote Function Call
↑ TCP: Transmission Control Protocol

پانویس[ویرایش]

مشارکت‌کنندگان ویکی‌پدیا. «ERP Security». در دانشنامهٔ ویکی‌پدیای انگلیسی، بازبینی‌شده در ۱۱ ژانویهٔ ۲۰۲۳.

منابع[ویرایش]

↑ «What is ERP». دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.
↑ ^۲٫۰ ^۲٫۱ ^۲٫۲ Security issues in ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx بایگانی‌شده در ۹ نوامبر ۲۰۱۵ توسط Wayback Machine
↑ «Why security should be a priority for an ERP ecosystem». Information Age. ۳۱ آگوست ۲۰۱۷. دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.
↑ ^۴٫۰ ^۴٫۱ «ERP Security and Segregation of Duties Audit: A Framework for Building an Automated Solution» (PDF).
↑ ^۵٫۰ ^۵٫۱ «ERP Security Deserves Our Attention Now More Than Ever». Forbes. ۷ ژوئیه ۲۰۱۷. دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.
↑ ERP Cybersecurity survey 2017 https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/^{^{[پیوند مرده]}}
↑ «Survey reveals the damage of fraud attacks against SAP system is estimated at $10m». CSO from IDG. ۲۷ ژوئن ۲۰۱۷. بایگانی‌شده از اصلی در ۷ مه ۲۰۱۸. دریافت‌شده در ۶ آوریل ۲۰۱۸.
↑ «Six classic ERP system security problems – and how to avoid them». CloudTech. ۱۰ مه ۲۰۱۷. دریافت‌شده در ۶ آوریل ۲۰۱۸.
↑ ERPScan warns about new vulnerabilities of DIAG protocol in SAP
↑ SAP RFC Library Multiple Vulnerabilities http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2

پیوند به بیرون[ویرایش]

[:0-1] ۱٫۰۰ ^۱٫۰۱ ^۱٫۰۲ ^۱٫۰۳ ^۱٫۰۴ ^۱٫۰۵ ^۱٫۰۶ ^۱٫۰۷ ^۱٫۰۸ ^۱٫۰۹ ^۱٫۱۰ ^۱٫۱۱ ^۱٫۱۲ ^۱٫۱۳ ^۱٫۱۴ ^۱٫۱۵ ERP: Enterprise Resource Planning

[:1-3] ۲٫۰ ^۲٫۱ ISACA: the Information Systems Audit and Control Association

[11] فرهنگستان زبان و ادب فارسی، در رشته‌های مهندسی مخابرات و رایانه و فناوری اطلاعات، واژهٔ «قرارداد» را برابر «پروتکل» نهاده‌است. از جمله: «قراردادهای دسترسی» برابر «access protocols» در رشتهٔ مهندسی مخابرات و «قرارداد اینترنت» برابر «access protocols» در رشتهٔ رایانه و فناوری اطلاعات

[:2-12] ۴٫۰ ^۴٫۱ DIAG: Dynamic Information and Action Gateway

[13] پیشکار از واژه‌های مصوب فرهنگستان زبان و ادب فارسی به جای proxy یا proxy server در انگلیسی و در حوزهٔ رایانه است.

[15] RFC: Remote Function Call

[16] TCP: Transmission Control Protocol

[2] «What is ERP». دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.

[isaca.org-4] ۲٫۰ ^۲٫۱ ^۲٫۲ Security issues in ERP http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/sap-erp.aspx بایگانی‌شده در ۹ نوامبر ۲۰۱۵ توسط Wayback Machine

[5] «Why security should be a priority for an ERP ecosystem». Information Age. ۳۱ آگوست ۲۰۱۷. دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.

[:0-6] ۴٫۰ ^۴٫۱ «ERP Security and Segregation of Duties Audit: A Framework for Building an Automated Solution» (PDF).

[:1-7] ۵٫۰ ^۵٫۱ «ERP Security Deserves Our Attention Now More Than Ever». Forbes. ۷ ژوئیه ۲۰۱۷. دریافت‌شده در ۱۱ ژانویه ۲۰۲۳.

[8] ERP Cybersecurity survey 2017 https://erpscan.com/research/white-papers/erp-cybersecurity-survey-2017/^{^{[پیوند مرده]}}

[9] «Survey reveals the damage of fraud attacks against SAP system is estimated at $10m». CSO from IDG. ۲۷ ژوئن ۲۰۱۷. بایگانی‌شده از اصلی در ۷ مه ۲۰۱۸. دریافت‌شده در ۶ آوریل ۲۰۱۸.

[10] «Six classic ERP system security problems – and how to avoid them». CloudTech. ۱۰ مه ۲۰۱۷. دریافت‌شده در ۶ آوریل ۲۰۱۸.

[14] ERPScan warns about new vulnerabilities of DIAG protocol in SAP

[17] SAP RFC Library Multiple Vulnerabilities http://www.cnet.com/forums/post/7986898c-0a03-43d4-af70-b8427164c8e2

[پانویس ۱]

[۱]

[پانویس ۲]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[پانویس ۳]

[پانویس ۴]

[پانویس ۵]

[۹]

[پانویس ۶]

[پانویس ۷]

[۱۰]