ERP 安全与控制

所有企业资源规划（ERP）系统都存在漏洞，因为这类系统在开箱即用的状态下，并未启用监管机构、管理层及内部审计人员要求的控制功能。

识别并设计最优的 ERP 控制措施、制定高效的测试方法、修复 ERP 控制缺陷，均需要多年的经验积累。要始终紧跟 ERP 安全控制的前沿并非易事。与其持续培训内部员工、占用他们的时间执行 ERP 风险评估，不如与经验丰富的专业团队合作 —— 他们每日深耕于此领域。这能让你的员工有精力专注于更高价值的项目。

心怀不满的员工要在系统中实施特定类型欺诈，需满足哪些条件？

系统中仍存在有效用户账户（处于活跃、未锁定状态）。

该用户拥有在生产环境中执行特定程序的权限。

该用户知晓自己具备实施欺诈的特定权限。

该用户需找到规避检测的方法，最常见的是执行多笔金额极小的财务操作。

若上述控制措施均妥善部署，要同时满足所有欺诈条件极为困难。即便其中一项控制失效，其他控制措施仍能发挥作用。在这种情况下，所有控制措施同时失效的概率极低。

但某些关键漏洞（例如针对已知配置错误的公开漏洞利用程序10KBLAZE），可使任何人绕过身份验证（无需用户凭证即可访问）、权限验证（无权限即可执行操作），并篡改日志（操作不留痕迹）。

若存在单个漏洞，心怀不满的员工要实施同类欺诈，又需满足哪些条件？

用户需能访问谷歌下载漏洞利用程序。

用户需能访问谷歌了解 SAP 主数据表。

用户需按照漏洞利用程序文档中的步骤操作。

即便上述所有传统控制措施均正常运行，欺诈行为仍可能发生。这些漏洞能够绕过所有 “传统 IT 一般控制措施”—— 因为这类控制主要防范以“传统方式” 实施的恶意行为。一旦恶意行为通过其他方式执行，这些控制措施便会被绕过。

读到这里，有人可能会问：“这种情况实际发生的概率有多大？”

2016 年和 2018 年，企业频频收到警示，提醒其警惕针对 ERP 系统的恶意网络活动。2019 年 5 月，随着 10KBLAZE 漏洞利用程序的公开，各组织需警惕这一针对 SAP 已知配置错误的新型威胁。尽管这些配置错误此前已被发现，潜在攻击的影响程度始终极高，但公开漏洞利用程序的出现，大幅提高了攻击发生的概率。

最后值得一提的是，IDC 近期针对 430 位 IT 决策者开展的调查显示，64% 的受访者表示，其 ERP 系统在过去 24 个月内曾遭遇入侵。

读到这里，你或许会思考：如何与管理层启动跨部门的内部讨论？以下关键问题可助你开启新的对话：

1. 针对每个关键业务应用系统，IT 一般控制措施（ITGC）的范围是如何定义的？

2. 网络安全控制是否被纳入 ITGC 的定义范围？例如：漏洞管理、日志配置与管理、配置基线、系统间网络接口等。

3. 针对关键业务应用系统的内外部威胁，是否已妥善建立持续监控机制？

4. 已部署哪些工具来监控特定财务系统？

5. 关键业务应用系统的安全补丁多久审核并部署一次？

6. 针对财务报告相关关键业务应用中使用的定制代码，已建立哪些网络安全控制措施？

7. 关键网络安全控制措施如何映射到《萨班斯 - 奥克斯利法案》（SOX）之外的其他法规要求？例如 NERC-CIP（北美电力可靠性公司关键基础设施保护标准）、PCI（支付卡行业数据安全标准）、GDPR（通用数据保护条例）等。

8. 外部审计师、内部审计师及管理层应如何评估和测试上述控制措施，以确保数据安全？