免备案CDN_阿里云竞争对手_价格

时间:2021-09-28 04:17       来源: 微辰云

免备案CDN_阿里云竞争对手_价格

如果你活跃在SAP生态空间,或者你对网络安全感兴趣,你可能已经注意到了"10KBlaze",它目前正在互联网上燃烧。一家SAP安全提供商发布消息称,众所周知但尚未修补的SAP漏洞仍使90%的SAP客户面临风险。这是老生常谈的消息。然而,就在最近,新的漏洞利用已经公开;这些漏洞利用使得更大的社区能够针对SAP实例。

国土安全部计算机应急准备小组(DHS-CERT)的网站上可以找到漏洞描述和缓解措施的高级摘要。此外,全球媒体,如纽约时报,路透社和许多其他媒体…报道了一个新的和迫在眉睫的安全风险完全相同的故事情节。然而,由于所有媒体的关注,试图破坏SAP系统的尝试可能会显著增加,例如,我看到不少帖子要求提供bespoken漏洞的下载链接。经过数小时的调查,这些脚本可以在GitHub上找到。在不涉及太多技术细节的情况下,问题的核心仍然是系统配置错误。SAP标准提供了一种验证网关和消息服务器配置(WIKI)的方法。感谢作者的研究,淘客返利app,还列出了补救和检测选项。

我本人在SAP安全领域工作,我只能确认,仍然存在所述漏洞的实时SAP环境的数量高得惊人。到目前为止,10KBlaze漏洞并不是唯一的弱点,几乎没有更完善的安全缺陷未修补、未缓解和未监控。

就在最近,我们在准备会议演示平台时亲身经历了令人不安的事实,我们的团队通过随机列出20个可公开访问的SAP实例进行了测试,这些实例都是大中型组织的生产实例(大部分可以通过其系统ID识别)。所列系统中有12个存在石器时代的安全配置缺陷。它不需要火箭科学来阻止或破坏环境。我们已经联系了所有相关的公司和组织,向他们指出了漏洞。我们不在SAP安全缓解的市场上。所以共享的信息绝对不是出于商业动机。无论如何,漏洞细节真的应该通过媒体宣传来披露吗?依我拙见,答案很短,不!在一些论坛帖子中,有关10KBlaze的新闻被贴上了FUD(又名)的标签,零售大数据解决方案,即笨拙的销售策略。好吧,回到话题上来,我们与受影响的SAP客户分享漏洞细节的经验:在解决一个明显的安全漏洞方面,12个联系人中只有4个给出了积极和立即的响应!与SAP联系的客户数量非常少,点云,因此统计准确性值得商榷。尽管如此,这种"不感兴趣"的经历还是让人大吃一惊。

这些可能只是偷工减料的例子,尽管它确实把10KBlaze的话题放在了正确的角度。现实情况是,炒作可能无济于事,不仅因为它把弹药交给了坏人,还因为信息丢失了,每次看起来都像狼来了。是的,淘客查询,存在漏洞,是的,SAP知道这些漏洞,全球云购,是的,他们发布了修补程序和建议,不是的,修补程序在任何时候都没有完全准确地应用,因为这可能是不可能做到的。希望通过提高对任何SOC团队和公司预算所面临挑战的认识,会有一些好处将协调以帮助解决这些问题。