公司常在ERP和CRM系统上进行投资,但其实企业已经有许多存在多年的应用程序实例。这是因为参与采购和部署系统的工作人员离职后,带走了如何管理和维护这些系统的知识,所以现在这些应用程序只能独自运行。
修补老化的关键应用程序是非常困难的,因为许多传统的CRM系统和ERP系统都没有打补丁,而且非常脆弱。但是由于它们处理和存储了重要机密的数据,所以必须注意其安全性。在过去,原本的安全控制可能就够了,但是处于当今多设备、Internet连接并充满威胁的环境中,它们可能就难以应对了。
本文中,我们将回顾ERP和CRM系统应用程序安全的最佳实践,不仅专注于这些应用程序本身,还关注对安全性至关重要的其它IT组件。
为了确保ERP和CRM系统应用程序的安全,必须在网络层、表示层以及最重要也最受黑客偏爱的攻击对象应用层实施控制。
未打补丁的ERP和CRM系统都特别脆弱,因为他们特别容易成为自动扫描器和攻击工具的目标。尽管不是每一个新漏洞都会有风险,但是真正遇到威胁时,你就必须努力修补旧系统。但是,知道漏洞何时对特定的应用程序有风险非常有用,因为这就可以优先升级补丁、防火墙和改变入侵检测系统。测试漏洞和补丁影响的一个方法是在一个虚拟测试环境中复制一个生产系统,然后使用渗透测试框架,用适当方法来试图感染用于测试的应用程序。如果测试的应用程序失败或被感染了,显然这个生产中的应用程序需要安装补丁来防御类似的攻击。 |
