Acalvio ShadowPlex: Усиление безопасности SAP с помощью упреждающей защиты

SAP находится в центре корпоративной инфраструктуры, храня критически важные бизнес-данные в системах логистики, финансов и цепочек поставок. Это делает его приоритетной целью для киберпреступников и групп, поддерживаемых государствами, которые стремятся нарушить работу компаний или похитить конфиденциальные данные.

Недавние атаки — например, инцидент в сентябре 2025 года на глобального производителя — демонстрируют растущие риски. Эксплойты против SAP NetWeaver привели к остановке производства и длительным сбоям в ИТ, доказав, что традиционные меры профилактической защиты уже недостаточны.

Угрозы, нацеленные на системы SAP

Современные злоумышленники рассматривают SAP как точку входа в основные бизнес-процессы организации. Среди наиболее распространённых угроз:

• APT-группы (например, Silk Typhoon, APT41), использующие уязвимости SAP NetWeaver для первоначального доступа и кражи данных.
• Группировки-вымогатели, такие как Scattered LAPSUS$ Hunters (ShinyHunters), эксплуатирующие известные CVE (например, CVE-2025-31324, CVE-2025-42999) для компрометации инфраструктуры SAP.
• Угрозы, основанные на генеративном ИИ, использующие языковые запросы для создания эксплойтов против SAP-систем.

Эти целевые атаки используют специфические уязвимости SAP, такие как непатченные веб-модули или открытые API, чтобы внедрять веб-шеллы и незаметно извлекать конфиденциальные данные.

Почему защита SAP должна выходить за рамки патчей

Традиционная защита SAP в основном полагается на патчи и сетевую сегментацию — однако у этих методов есть ограничения.

• Проблемы с патчингом: SAP выпускает до 15 патчей в месяц для различных компонентов. Быстрое их внедрение без влияния на производственные процессы требует больших ресурсов и вызывает сложности.
• Ограничения сегментации: Хотя сегментация снижает уязвимость, современные атакующие используют доступ на основе учетных данных, обходя традиционные сетевые меры.

В современном ландшафте подход «предположим, что компрометация уже произошла» должен стать нормой. Вопрос не в том, попадёт ли злоумышленник в сеть, а в том, как быстро вы его обнаружите — до того, как он достигнет ваших систем SAP.

Почему обнаружение угроз в SAP так сложно

Выявление угроз в SAP-среде — сложная задача:

• Ограничения EDR: Многие компании избегают установки агентских решений на SAP-серверах из-за риска снижения производительности, что создаёт пробелы в видимости.
• Сложные форматы журналов: Собственные и постоянно меняющиеся структуры логов SAP делают анализ данных непоследовательным.
• Методы скрытности: Последние атаки, такие как действия LAPSUS$ Hunters, не оставляли следов в журналах аудита приложений.

Эти пробелы делают необходимым внедрение нового уровня обнаружения, не зависящего от агентов, сигнатур или стандартной телеметрии.

Упреждающая защита: новый уровень безопасности SAP

Упреждающая защита подразумевает проактивный подход: вместо ожидания тревог создаются контролируемые среды обмана, которые привлекают и раскрывают злоумышленников на ранней стадии.

Платформа ShadowPlex от Acalvio реализует это с помощью:

• Приманок (Decoys): Реалистичных копий серверов SAP, баз данных и учетных записей пользователей, отвлекающих атакующих от реальных систем.
• Honeytoken’ов: Поддельных учетных данных и данных, которые вызывают оповещения при несанкционированном доступе.
• AI-оркестрации: Автоматического развертывания и обновления элементов обмана в ИТ-, OT- и SAP-средах.

Эти возможности обеспечивают раннее предупреждение, перенаправление угроз и точные оповещения без ложных срабатываний.

Сценарий атаки: как работает упреждающая защита

1. Первичный доступ: Атакующий получает точку входа в корпоративную сеть (например, через фишинг).
2. Разведка: Он собирает информацию в Active Directory, ищет учетные данные, связанные с SAP.
3. Срабатывание: Злоумышленник пытается использовать поддельную учетную запись SAP (honeytoken).
4. Обнаружение: Попытка немедленно генерирует оповещение SOC через интеграцию с SIEM/SOAR.
5. Реакция: Автоматическая изоляция конечной точки предотвращает дальнейшее распространение угрозы.

Такой подход останавливает злоумышленников до того, как они достигнут критически важных SAP-баз данных, и предоставляет ценные сведения о тактиках противника.

Генерация разведданных с помощью обмана

Датчики Acalvio, основанные на технологии deception, можно размещать и на внешних ресурсах, чтобы привлекать реальные попытки эксплуатации SAP (например, порталы NetWeaver).

Это обеспечивает получение актуальной разведывательной информации, включая:

• Шаблоны эксплуатации CVE
• IP-адреса и геолокацию атакующих
• Используемые типы учетных данных
• Новые последовательности эксплойтов

Такой уровень видимости помогает организациям предугадывать угрозы и реагировать быстрее, чем злоумышленники.

Acalvio ShadowPlex: автоматизированная, масштабируемая упреждающая защита SAP

ShadowPlex от Acalvio позволяет компаниям внедрять упреждающую защиту в масштабе:

• Готовые сценарии обмана для SAP
• AI-управляемое развертывание и обновление приманок и honeytoken’ов
• Высокоточные оповещения с автоматической приоритизацией
• Покрытие ИТ-, OT- и облачных сред

Этот проактивный подход сокращает время присутствия атакующего в сети, усиливает обнаружение угроз и обеспечивает защиту бизнес-критичных SAP-систем от APT, ransomware и инсайдерских атак.

Укрепите безопасность SAP с Softprom и Acalvio

Как официальный дистрибьютор Acalvio, компания Softprom помогает предприятиям Европы и СНГ усилить защиту SAP с помощью упреждающих технологий.

С AI-платформой обмана Acalvio организации могут перейти от реактивной защиты к проактивной, устойчивой кибербезопасности.

Свяжитесь с Softprom уже сегодня, чтобы узнать, как Acalvio ShadowPlex поможет защитить ваш SAP от современных угроз.