Как аналитическая и исследовательская компания, сфокусированная на информационной безопасности, мы общаемся с компаниями из списка Fortune 1000 каждую неделю. И из наших бесед становится ясно, что большая часть этих компаний имеют заметные недостатки в их программах обеспечения безопасности, в частности, внутри и в окружении крупных корпоративных приложений, которые являются основной их бизнеса. Это удивительно, ведь такие платформы как SAP и Oracle активно используются уже более 10 лет и можно ожидать, что за это время все аспекты их безопасности более или менее проработаны. Это является неожиданностью и для самих компаний, которые всегда думали, что их процессы и инструменты достаточно защищены.

Есть много причин появления пробелов в безопасности. Но основными являются две – сосредоточенность основных средств обеспечения безопасности на защите сетей или платформ и общая неосведомленности о продуктах разработанных специально для защиты корпоративных приложений. К примеру, компании часто инвестируют в общие инструменты оценки, которые не обеспечивают углубленного управления и контроля корпоративных приложений. В некоторых случаях, компании ссылаются на сбор журналов действий всех приложений с помощью SIEM, но используемые подобными решениями методы сбора данных не позволяют собрать нужную информацию для адекватной оценки действий пользователей.

Но есть и дополнительные причины. Поставщики корпоративных приложений предоставляют рекомендации по обеспечению безопасности, но не могут предложить к покупке реальные продукты для ее обеспечения и даже редко дают советы об удалении или отключении неиспользуемых компонентов приложений, что могло бы снизить площадь атак. Те, кто обеспечивают безопасность, в свою очередь, мало знают о работе этих приложений и не могут самостоятельно определить какая модель развертывания будет эффективной. IT-персонал также обычно не стремится делать лишнюю работу, а потому предпочитают делать только то, что от них требуют. Наконец, крупные предприятия зачастую избегают решений для контроля безопасности корпоративных приложений из-за страха, что эти системы могут нарушить работы приложения, уменьшить производительность или повлиять на удобство использования. Все эти причины способствуют появлению пробелов в безопасности корпоративных приложений.

Управление цепочками поставок, взаимоотношениями с клиентами, ресурсами предприятия, финансовыми операциями – все это включают в себя современные корпоративные приложения. Каждое предприятие зависит от них в организации бизнес-процессов и тратит огромные деньги на них и их поддержку. И эти корпоративные приложения нуждаются в обеспечении защиты для того чтобы защитить эти инвестиции, ведь хорошо известно, что эти приложения являются одной из главных целей атак, как со стороны инсайдеров, так и извне. Компании много инвестируют в эти приложения, в аппаратные платформы и сотрудников, которые должны будут обеспечивать их поддержку. И в большинстве реализаций инвестиции в безопасность данных проектов составляют лишь мизерную часть всего бюджета. Впрочем, для действительно крупных проектов 1-2 процента бюджета это огромные средства, поэтому однозначно говорить о том, что компании относятся к безопасности несерьезно, нельзя. Однако, эти инвестиции не всегда оптимальны – могут быть выбраны решения с ограниченной функциональностью, без комплексного понимания доступных опций. В общем, пришло время взглянуть на все это по-новому.

В данном материале мы сфокусируемся на основных аспектах обеспечения безопасности корпоративных приложений и дадим практические рекомендации по повышению уровня их защиты. А также обсудим специфику обеспечения безопасности и соответствия требованиям в отношении крупных корпоративных приложений, выделим недостатки в защите и предложим подходящие решения и специфические инструменты, которые можно и нужно использовать в этих системах. Материал не претендует на исчерпывающий анализ контроля безопасности корпоративных приложений, а является, по сути, описанием общих недостатков защиты и базовых принципов обеспечения безопасности.