Bezpieczny Wtorek ze SNOK: Dlaczego tradycyjny antywirus nie widzi zagrożeń w SAP

Kwiecień 2025. Amerykańska firma chemiczna. System SAP NetWeaver wystawiony na dostęp z internetu. W ciągu trzech dni atakujący przechodzą od pierwszego skanowania do pełnej kompromitacji systemu ze złośliwym oprogramowaniem Auto-Color.

Cały incydent zakończył się sukcesem dzięki szybkiej reakcji systemów wykrywających anomalie. Ale pytanie pozostaje: jak to się w ogóle mogło stać?

Odpowiedź jest prostsza niż myślicie: bo tradycyjny antywirus nie widzi tego, co dzieje się wewnątrz SAP.

Problem, o którym mało kto mówi

Weźmy prosty scenariusz.

Macie firmowy antywirus od McAfee, Trellix, SOPHOS czy innego renomowanego producenta. Macie zaporę sieciową nowej generacji. Macie system zarządzania zdarzeniami bezpieczeństwa. Macie wszystko, co trzeba.

I mimo to wasz system SAP może być zainfekowany złośliwym oprogramowaniem przez tygodnie, a nikt nie zauważy.

Dlaczego?

Bo SAP ma swoją własną, wewnętrzną architekturę przechowywania plików. Dane nie leżą sobie w zwykłym systemie plików Windows czy Linux, gdzie tradycyjny antywirus mógłby je przeskanować. Są w bazie danych SAP. W archiwach SAPCAR. W pamięci. W miejscach, do których zwykły antywirus po prostu nie ma dostępu.

SAP od lat dostarcza interfejs SAP NetWeaver Virus Scan Interface (NW-VSI). Problem? Standardowe oprogramowanie antywirusowe nie jest z nim kompatybilne.

To jak mieć najlepsze zamki w drzwiach, ale pozostawić okna szeroko otwarte.

bowbridge: antywirus, który „rozumie” SAP

I tutaj pojawia się bowbridge Software GmbH.

Nie jest to „kolejne narzędzie antywirusowe”. To jedyne rozwiązanie zabezpieczające przed złośliwym oprogramowaniem, zaprojektowane od podstaw specjalnie dla SAP – zarówno w instalacjach lokalnych, jak i w chmurze.

Co sprawia, że bowbridge jest wyjątkowy?

Skanowanie w pamięci operacyjnej bowbridge skanuje pliki bezpośrednio w pamięci SAP. Nie potrzebuje zapisywać ich tymczasowo na dysku, co spowalniałoby system i generowało niepotrzebne operacje dyskowe. Po prostu analizuje strumień danych w czasie rzeczywistym. Wynik? Najwyższa wydajność bez kompromisów w bezpieczeństwie.

Natywna integracja z SAP NetWeaver VSI bowbridge działa wewnątrz SAP, nie obok niego. Integruje się bezpośrednio z interfejsem skanowania wirusów SAP na poziomie jądra systemu. To oznacza dostęp do wszystkich przesyłanych plików, niezależnie od aplikacji – czy to SAP ERP, CRM, SRM, e-rekrutacja, dokumenty mobilne czy aplikacje niestandardowe.

Wykrywanie ataków XSS w plikach Dwadzieścia pięć procent komunikatów bezpieczeństwa SAP dotyczy podatności typu Cross-Site Scripting. bowbridge wykrywa i blokuje ataki XSS ukryte w plikach – nawet jeśli są zaciemnione lub ukryte. To nie jest standardowa funkcja tradycyjnych programów antywirusowych.

Pełny dostęp do archiwów SAPCAR SAPCAR to format archiwów specyficzny dla SAP. bowbridge potrafi zajrzeć do środka tych archiwów i przeskanować ich zawartość. Tradycyjny antywirus? Widzi tylko zewnętrzny plik .SAR i nie potrafi go otworzyć.

Blokowanie aktywnej zawartości Makra w plikach Excel i Word, kod JavaScript, wykorzystanie mechanizmów OLE i DDE – bowbridge wykrywa i blokuje szkodliwą aktywną zawartość w różnych formatach plików zgodnie z zdefiniowanymi politykami bezpieczeństwa.

Filtrowanie oparte na rzeczywistej zawartości pliku Atakujący często zmieniają rozszerzenia plików, żeby ominąć proste filtry. Plik z rozszerzeniem .jpg, który w rzeczywistości jest programem wykonywalnym? bowbridge analizuje rzeczywistą zawartość pliku, nie jego nazwę czy rozszerzenie.

Realne zagrożenia: studia przypadków z pierwszej linii frontu

Przykłady nie są teoretyczne. To rzeczywiste ataki z lat 2024-2025.

Przypadek nr 1: Złośliwe oprogramowanie Auto-Color i luka CVE-2025-31324

Kwiecień 2025, USA, firma chemiczna

Wszystko zaczęło się od skanowania. 25 kwietnia atakujący zidentyfikowali podatną instancję SAP NetWeaver wystawioną w internecie. Dwa dni później przyszedł prawdziwy atak.

Wykorzystali lukę w zabezpieczeniach oznaczoną jako CVE-2025-31324. Otrzymała ona maksymalny poziom krytyczności – 10 punktów na 10 możliwych. Ta podatność w komponencie SAP NetWeaver Visual Composer pozwala na nieuprawnione przesyłanie plików bez uwierzytelnienia.

Przebieg ataku:

• 27 kwietnia: Przesłanie szkodliwego archiwum ZIP poprzez ścieżkę /developmentserver/metadatauploader
• 27-28 kwietnia: Tunelowanie przez DNS i podejrzane połączenia sieciowe
• 27 kwietnia (10 godzin później): Pobranie skryptu config.sh
• 28 kwietnia: Pobranie złośliwego oprogramowania Auto-Color (plik wykonywalny dla systemu Linux)

Auto-Color to zaawansowany trojan zdalnego dostępu, który:

• Maskuje się jako plik dziennika systemowego: /var/log/cross/auto-color
• Używa mechanizmu ld.so.preload do utrzymania trwałości w systemie
• Komunikuje się z serwerem kontrolnym przez szyfrowane połączenie TLS
• Udaje uśpione jeśli nie może połączyć się z serwerem kontrolnym, co utrudnia wykrycie

Efekt: Pełna kompromitacja systemu. Dostęp do bazy danych. Możliwość przejścia do innych systemów w sieci. Potencjał do modyfikacji logiki biznesowej, kradzieży danych finansowych, zainstalowania oprogramowania szyfrującego.

Problem: Tradycyjny antywirus nie wykrył niczego podczas przesyłania pliku. Dlaczego? Bo plik był przesyłany przez interfejs SAP, nie przez system operacyjny.

Przypadek nr 2: Grupy oprogramowania szyfrującego atakują SAP

Maj 2025, globalne ataki

Grupy przestępcze zajmujące się oprogramowaniem szyfrującym (ransomware) RansomEXX i BianLian dołączyły do ataków na SAP NetWeaver wykorzystując tę samą lukę CVE-2025-31324.

Instalacja złośliwego oprogramowania przez grupę RansomEXX obejmowała:

• Modułowy program tylnych drzwi PipeMagic
• Narzędzie zdalnego sterowania Brute Ratel C2
• Wykorzystanie luki CVE-2025-29824 w systemie Windows
• Powłoki internetowe o nazwach: helper.jsp, cache.jsp

581 instancji SAP NetWeaver zostało zainfekowanych przez jednego tylko atakującego (grupa Chaya_004 powiązana z Chinami). Pliki były przechowywane na otwartym serwerze – badacze z firmy Forescout znaleźli pełną listę ofiar.

Co więcej – atakujący nie ograniczyli się do jednej luki. Wykorzystali 8 różnych podatności w różnych systemach:

• CVE-2017-9805 (zdalne wykonanie kodu w Apache Struts2)
• CVE-2021-22205 (zdalne wykonanie kodu w GitLab)
• CVE-2025-31324 (SAP NetWeaver)
• i inne…

To profesjonalna operacja z planami awaryjnymi i wieloma wektorami ataku.

Przypadek nr 3: Chińskie grupy wywiadowcze atakują infrastrukturę krytyczną

2024-2025, Wielka Brytania, USA, Arabia Saudyjska

Co najmniej trzy chińskie grupy zajmujące się cyberwywiadem (UNC5174, UNC5221, CL-STA-0048) celowały w SAP NetWeaver w ramach ataków na infrastrukturę krytyczną.

Cele w Wielkiej Brytanii:

• Sieci dystrybucji gazu ziemnego
• Zakłady wodociągowe i gospodarki odpadami

Cele w USA:

• Producenci zaawansowanego sprzętu medycznego
• Firmy zajmujące się eksploracją i produkcją ropy naftowej

Cele w Arabii Saudyjskiej:

• Ministerstwa odpowiedzialne za strategię inwestycyjną
• Organy regulacji finansowej

Motywacja? Szpiegostwo gospodarcze. Zbieranie wywiadów gospodarczych, mapowanie infrastruktury krytycznej, przygotowanie do potencjalnych działań sabotażowych.

Techniki:

• Program pobierający SNOWLIGHT
• Narzędzia implantacyjne VShell
• Wykonywanie kodu bezpośrednio w pamięci
• Techniki ukrywania aktywności w czasie wykonywania

Problem: Te ataki często pozostają niewykryte przez miesiące. Aktorzy państwowi mają cierpliwość i zasoby do długoterminowych operacji.

Przypadek nr 4: Szkodliwe pliki PDF w SAP

Grudzień 2024, CVE-2024-47578

SAP załatał serię podatności związanych z plikami PDF:

• CVE-2024-47578 (ocena 9.1 na 10) – podatność typu SSRF
• CVE-2024-47579 – Nieautoryzowany dostęp do plików przez przesyłanie czcionek PDF
• CVE-2024-47580 – Załączniki PDF z plikami z wewnętrznego serwera

Atakujący z uprawnieniami administracyjnymi mogli:

• Przesyłać szkodliwe pliki PDF z niestandardowymi czcionkami
• Dołączać do plików PDF pliki z wewnętrznego serwera
• Wyciągać poufne informacje biznesowe
• Uzyskać dostęp do własności intelektualnej

Nawet autoryzowani użytkownicy mogą być zagrożeniem – inżynieria społeczna, skompromitowane dane uwierzytelniające, zagrożenia wewnętrzne.

---

Głos eksperta: Jaroslaw Kamil Zdanowski, Partner SNOK , SAP Cybersecurity & Basis

„W ciągu ostatnich 18 miesięcy obserwujemy dramatyczny wzrost zainteresowania atakujących systemami SAP naszych klientów. To już nie są okazjonalne próby – to systematyczne, profesjonalne kampanie. Wielokrotnie spotykamy się z sytuacją, gdzie organizacja ma firmowy antywirus na serwerach, ma zapory ogniowe nowej generacji, ma systemy zarządzania zdarzeniami bezpieczeństwa – i mimo to są całkowicie bezbronne wobec szkodliwego oprogramowania przesyłanego bezpośrednio przez interfejsy SAP.

Co gorsze, większość naszych klientów nawet nie wie, że mają ten problem. Dopóki nie wykonamy audytu bezpieczeństwa i nie pokażemy im, że tradycyjny antywirus po prostu nie widzi tego, co dzieje się wewnątrz SAP – nie wierzą. A potem, gdy wykonujemy prosty test przesłania pliku testowego EICAR przez transakcję SAP, i ich antywirus nic nie wykrywa – wtedy przychodzi moment 'aha’.

bowbridge to jedyne rozwiązanie na rynku, które naprawdę rozumie architekturę SAP. Pracujemy z tym narzędziem od lat i widzimy jego wartość w praktyce – nie tylko blokuje zagrożenia, ale robi to w sposób, który nie przeszkadza w normalnej pracy użytkowników. To kluczowe, bo zabezpieczenia, które blokują biznes, nie przetrwają długo w produkcji.”

---

Dlaczego to wszystko się dzieje?

Prostą odpowiedź: SAP to kopalnia złota.

System SAP w dużej organizacji zawiera:

• Dane finansowe – rachunki zysków i strat, bilanse, przepływy pieniężne
• Dane klientów – informacje osobowe, historia zakupów, kontrakty
• Dane dostawców – ceny, warunki, informacje o łańcuchu dostaw
• Własność intelektualna – formuły, projekty, dane badawczo-rozwojowe
• Dane operacyjne – harmonogramy produkcji, stany magazynowe, logistyka

To są klejnoty koronne każdej firmy. Jeden skompromitowany system SAP oznacza potencjalną kompromitację całego biznesu.

A SAP jest wszędzie. W firmach z listy Fortune 500. W produkcji. W finansach. W energetyce. W ochronie zdrowia. W administracji państwowej.

77% światowych transakcji biznesowych przechodzi przez systemy SAP.

bowbridge w akcji: jak to działa?

Przyjrzyjmy się, jak bowbridge chroniłby przed powyższymi scenariuszami.

Scenariusz 1: Przesyłanie szkodliwego pliku

Bez bowbridge:

• Użytkownik lub atakujący przesyła plik przez interfejs SAP (na przykład CV w systemie e-rekrutacji, dokument w systemie CRM, fakturę w systemie SRM)
• Plik trafia do bazy danych SAP
• Tradycyjny antywirus nic nie widzi (bo nie ma dostępu do wewnętrznych struktur SAP)
• Złośliwe oprogramowanie czeka na uruchomienie

Z bowbridge:

• Użytkownik lub atakujący próbuje przesłać plik
• SAP NetWeaver VSI automatycznie przekierowuje plik do bowbridge
• bowbridge skanuje plik w pamięci używając silnika Trellix lub SOPHOS
• Jeśli wykryto złośliwe oprogramowanie → przesyłanie zablokowane
• Alert do administratora + zapisanie zdarzenia w dzienniku
• Plik nigdy nie wchodzi do systemu

Scenariusz 2: Atak XSS ukryty w pliku

Bez bowbridge:

• Atakujący przesyła plik HTML lub JavaScript z zaciemnionym kodem ataku XSS
• Plik jest przechowywany w SAP
• Inny użytkownik otwiera lub podgląda plik
• Kod XSS wykonuje się → przechwycenie sesji, kradzież danych uwierzytelniających, ataki typu CSRF

Z bowbridge:

• Próba przesłania pliku z kodem XSS
• bowbridge analizuje zawartość pliku (nie tylko rozszerzenie)
• Wykrywa kod ataku XSS mimo zaciemnienia
• Przesyłanie zablokowane
• Atak zatrzymany przed wykonaniem

Scenariusz 3: Dokumenty Office z makrami

Bez bowbridge:

• Wiadomość phishingowa z załącznikiem Excel lub Word zawierającym szkodliwe makro
• Użytkownik przesyła dokument do SAP (na przykład jako część zamówienia)
• Plik zapisany w systemie
• Następny użytkownik pobiera i otwiera dokument → makro wykonuje się

Z bowbridge:

• Przesyłanie dokumentu Office
• bowbridge wykrywa obecność makr
• Sprawdzenie polityki: „czy makra są dozwolone dla tego typu dokumentu?”
• Jeśli NIE → blokada
• Jeśli TAK → skanowanie zawartości makra pod kątem szkodliwych działań
• Decyzja: zezwolenie lub blokada

Scenariusz 4: Maskowanie typu pliku

Bez bowbridge:

• Atakujący przygotowuje plik wykonywalny ze złośliwym oprogramowaniem
• Zmienia rozszerzenie na .pdf
• Przesyła do SAP
• Prosty filtr sprawdza tylko rozszerzenie → „OK, to PDF”
• Złośliwe oprogramowanie w systemie

Z bowbridge:

• Przesyłanie pliku „szkodliwy_program.pdf”
• bowbridge sprawdza rzeczywistą zawartość pliku (analiza typu MIME)
• „To nie jest PDF, to plik wykonywalny!”
• Przesyłanie zablokowane mimo że rozszerzenie wyglądało właściwie

Certyfikacja SAP: nie byle jaka odznaka

bowbridge Anti-Virus czterokrotnie uzyskał certyfikację SAP – co trzy lata od ponad 12 lat.

To najdłuższy ślad certyfikacji w branży dla rozwiązań zabezpieczających treści w systemach SAP.

Co oznacza certyfikacja SAP?

• Dokładne testy przeprowadzane przez SAP
• Potwierdzenie kompatybilności z SAP NetWeaver
• Zgodność z SAP S/4HANA
• Weryfikacja, że rozwiązanie nie psuje funkcjonalności SAP
• Ciągłe wsparcie i aktualizacje

SAP nie certyfikuje byle czego. Proces jest długi, kosztowny i wymagający. Fakt, że bowbridge robi to regularnie od ponad 12 lat, to silny sygnał jakości i zaangażowania.

bowbridge 4.0 Cloud: bo przyszłość SAP jest w chmurze

SAP mocno rozwija kierunek chmurowy. SAP RISE. SAP S/4HANA Cloud. SAP Business Technology Platform (BTP).

Problem? Model współdzielonej odpowiedzialności.

W chmurze SAP odpowiada za infrastrukturę, ale klient odpowiada za bezpieczeństwo aplikacji. To znaczy: SAP zadba o sieć, przechowywanie danych, moc obliczeniową. Ale zabezpieczenia przed złośliwym oprogramowaniem w Twojej instancji SAP? To Twoja sprawa.

Wchodzi na scenę: bowbridge Anti-Virus 4.0 – Cloud

Dlaczego chmura wymaga innego podejścia?

Tradycyjny antywirus lokalny instaluje się na serwerze aplikacji. Ma dostęp do systemu operacyjnego. Może czytać pliki z dysku. Może tworzyć procesy.

W SAP RISE i chmurze prywatnej nie masz dostępu do poziomu systemu operacyjnego. Nie możesz instalować oprogramowania na serwerze. Nie możesz modyfikować plików systemowych.

bowbridge 4.0 Cloud rozwiązuje to poprzez hybrydowy model SaaS:

• Klastry skanujące w Twojej preferowanej chmurze (AWS, Azure, Google Cloud)
• Integracja przez SAP VSI (bez potrzeby dostępu do systemu operacyjnego)
• Zarządzanie przez portal internetowy i personalizację SAP
• Brak lokalnych procesów, brak plików konfiguracyjnych na poziomie systemu operacyjnego
• Wysoka dostępność i równoważenie obciążenia od podstaw

Wdrożenie w 15 minut

To nie jest marketingowa gadka. Rzeczywiście można wdrożyć bowbridge Cloud w mniej niż 15 minut:

• Automatyczne uruchomienie klastra skanującego w Twojej chmurze
• Konfiguracja w transakcji SAP VSCAN (kilka kliknięć)
• Wybór silnika skanującego: Trellix lub SOPHOS
• Test przesyłania próbki złośliwego oprogramowania (plik testowy EICAR)
• Gotowe

Zero zmian w kodzie Twoich aplikacji SAP. Zero przestoju. Zero ryzyka.

SNOK: ekspertyza, która robi różnicę

Mieć bowbridge to jedno. Ale jak go optymalnie skonfigurować? Jak dostosować politykę bezpieczeństwa do specyfiki Twojego biznesu? Jak reagować na incydenty?

Tutaj pojawia się SNOK.

SNOK to firma z ponad 25-letnim doświadczeniem w doradztwie IT, specjalizująca się w bezpieczeństwie SAP, cyberbezpieczeństwie i inteligentnej automatyzacji. W kontekście bowbridge oferują:

---

Głos CEO: Jacek Bugajski – SNOK

„Cyberbezpieczeństwo w SAP to nie jest pojedynczy produkt czy narzędzie – to kompleksowa strategia. Dlatego w SNOK stawiamy na holistyczne podejście do zabezpieczenia środowisk SAP naszych klientów. Nie chodzi tylko o wdrożenie technologii, ale o zrozumienie biznesu, procesów i realnych zagrożeń.

Nasze partnerstwo z bowbridge to naturalny element tej wizji. bowbridge doskonale uzupełnia nasze portfolio rozwiązań – od twardych technicznych aspektów jak bezpieczeństwo SAP Basis, przez testy penetracyjne, aż po zgodność z regulacjami i zarządzanie. To nie jest przypadkowy wybór partnera – to przemyślana decyzja strategiczna.

Widzimy, że klienci potrzebują nie tylko 'pudełka’ z oprogramowaniem, ale prawdziwej ekspertyzy. Ktoś musi wiedzieć, jak skonfigurować bowbridge tak, żeby nie blokował krytycznych procesów biznesowych. Ktoś musi umieć zintegrować to z całym stosem zabezpieczeń. Ktoś musi być w stanie szybko zareagować, gdy coś pójdzie nie tak.

W SNOK mamy ponad 25 lat doświadczenia z SAP. Znamy te systemy od środka – od stosu ABAP po S/4HANA Cloud, od NetWeaver po BTP. Ta wiedza w połączeniu z najlepszymi narzędziami jak bowbridge daje klientom prawdziwe bezpieczeństwo, nie tylko papierowe. I to jest nasza misja – dostarczać rozwiązania, które działają w praktyce, nie tylko w prezentacjach.”

---

Wdrożenie i konfiguracja

W SNOK wiemy, że każda organizacja jest inna. Inne procesy biznesowe, inne ryzyka, inne priorytety.

Przykład: firma produkcyjna kontra firma finansowa kontra dostawca usług zdrowotnych – każda ma inne wymagania co do tego, jakie pliki mogą być przesyłane i przez kogo.

SNOK pomaga:

• Ocena obecnego stanu bezpieczeństwa SAP
• Projektowanie polityki bezpieczeństwa dopasowanej do biznesu
• Wdrożenie bowbridge (lokalnie lub w chmurze)
• Integracja z istniejącymi systemami (SIEM, systemy ticketowe, monitoring)
• Dostrajanie dla minimalizacji fałszywych alarmów

Testowanie bezpieczeństwa SAP

Instalacja bowbridge to dopiero początek. SNOK wykonuje regularne testy penetracyjne systemów SAP, w tym:

• Przesyłanie szkodliwych plików przez różne interfejsy
• Próby obejścia zabezpieczeń treści
• Testowanie wektorów ataków XSS
• Próby wykorzystania aktywnej zawartości
• Scenariusze inżynierii społecznej

Efekt: weryfikacja, czy bowbridge skutecznie chroni w praktyce, nie tylko w teorii.

Reagowanie na incydenty

Gdy dojdzie do najgorszego scenariusza – próby ataku lub rzeczywistego włamania – czas reakcji jest krytyczny.

SNOK oferuje:

• Całodobowe reagowanie awaryjne dla incydentów SAP
• Kryminalistykę – co się stało, jak, kiedy
• Izolację – odizolowanie zagrożenia
• Naprawę – usunięcie złośliwego oprogramowania, łatanie
• Przegląd po incydencie – wyciągnięte wnioski

Zgodność z regulacjami i audyty

W regulowanych branżach (finanse, zdrowie, energia) zgodność z przepisami to nie opcja, to wymóg.

bowbridge pomaga spełniać standardy:

• PCI-DSS (branża płatnicza)
• HIPAA (ochrona zdrowia)
• ISO27001 (bezpieczeństwo informacji)
• NIS2 (bezpieczeństwo sieci i informacji)
• RODO (ochrona danych osobowych)

SNOK przygotowuje dokumentację dla audytorów, demonstrując że organizacja ma skuteczne kontrole dla ochrony przed złośliwym oprogramowaniem w SAP.

Rzeczywisty wpływ: liczby, które mówią prawdę

Ponad 1000 instalacji bowbridge na świecie w wiodących przedsiębiorstwach.

Co mówią użytkownicy?

Ferenc Mate, ekspert SAP w Phoenix Contact: „To nasza opinia, że bowbridge jest wyraźnym liderem rynku jeśli chodzi o ochronę SAP przed złośliwym oprogramowaniem.”

Kyle L. Hammer, 3M Corporation: „To jest poziom wsparcia, którego oczekujemy od wielu naszych dostawców, i jest odświeżające znaleźć firmy, które realizują i doceniają te zobowiązania.”

Raimund Fechtner, ESH: „Korzyści z bowbridge Anti-Virus for SAP Solutions są oczywiste.”

Konkretne metryki

Skuteczność wykrywania: powyżej 99,9% dla znanego złośliwego oprogramowania (w oparciu o silniki Trellix i SOPHOS)

Wpływ na wydajność: mniej niż 1% narzutu (dzięki skanowaniu w pamięci)

Współczynnik fałszywych alarmów: poniżej 0,01% (po właściwym dostrojeniu)

Czas wdrożenia:

• Lokalnie: 1-2 dni
• W chmurze: mniej niż 15 minut

Zwrot z inwestycji: Zazwyczaj osiągany w pierwszym roku (koszt jednego incydentu ze złośliwym oprogramowaniem znacznie przekracza koszt bowbridge)

Porównanie: bowbridge kontra tradycyjny antywirus

Krajobraz zagrożeń 2025: co nas czeka?

Ataki na SAP będą tylko intensywniejsze.

Trend 1: Oprogramowanie szyfrujące jako usługa Nie musisz już być geniuszem technicznym, żeby zaatakować SAP. Kupujesz gotowy zestaw narzędzi w darknetowej sieci, płacisz prowizję od sukcesu. Bariera wejścia dramatycznie spada.

Trend 2: Ataki wspierane sztuczną inteligencją Uczenie maszynowe do optymalizacji złośliwego oprogramowania, unikania wykrycia, automatycznego wykorzystywania luk. Ataki będą szybsze i bardziej zaawansowane.

Trend 3: Kompromitacja łańcucha dostaw Zamiast atakować dużą korporację bezpośrednio, atakujesz ich dostawcę. Jedno wykorzystanie luki propaguje się przez cały łańcuch.

Trend 4: Zagrożenia natywne dla chmury SAP w chmurze oznacza nowe wektory ataków. Źle skonfigurowane uprawnienia, wystawione interfejsy programistyczne, ucieczka z kontenerów.

Trend 5: Rozkwit rynku luk zero-day Zapotrzebowanie na luki zero-day w SAP tylko rośnie. Ceny sięgają 250 000 dolarów za pojedyncze wykorzystanie. To przyciąga więcej zaawansowanych atakujących.

Co robić dalej? Plan działania

Jeśli macie SAP i nie macie bowbridge (albo podobnego rozwiązania), oto konkretne kroki:

Krok 1: Ocena (tydzień 1)

Sprawdźcie aktualny stan:

• Czy macie jakąkolwiek ochronę przed złośliwym oprogramowaniem w SAP?
• Czy transakcja VSCAN jest skonfigurowana?
• Jakie pliki mogą być przesyłane i przez kogo?
• Czy macie dzienniki przesyłanych plików?

SNOK może wykonać szybką ocenę bezpieczeństwa – zwykle 3-5 dni roboczych.

Krok 2: Proof of Concept (tydzień 2-3)

Dowód koncepcji z bowbridge:

• Testowa instalacja w systemie rozwojowym lub jakościowym
• Przesłanie pliku testowego EICAR (nieszkodliwa próbka do testowania)
• Weryfikacja, że bowbridge blokuje
• Testowanie wydajności
• Testowanie integracji z aplikacjami

Krok 3: Projektowanie polityki (tydzień 3-4)

Określcie, co ma być blokowane:

• Wszystkie pliki wykonywalne?
• Dokumenty Office z makrami?
• Archiwa?
• Określone typy MIME?

Równowaga między bezpieczeństwem a funkcjonalnością biznesową. SNOK bardzo tu pomaga.

Krok 4: Wdrożenie produkcyjne (tydzień 4-6)

Uruchomienie w produkcji:

• Instalacja w systemie produkcyjnym
• Aktywacja w transakcji VSCAN
• Początkowy tryb monitorowania (tylko dzienniki, bez blokowania)
• Przegląd dzienników pod kątem fałszywych alarmów
• Przełączenie na tryb blokowania

Krok 5: Ciągłe zarządzanie

Bezpieczeństwo to nie „ustaw i zapomnij”:

• Regularne aktualizacje definicji silnika skanującego
• Cotygodniowy przegląd dzienników bezpieczeństwa
• Dostosowywanie polityk wraz z ewolucją biznesu
• Okresowe testy penetracyjne
• Gotowość do reagowania na incydenty

Zgodność z regulacjami: nie tylko zaznaczanie pól

Wiele organizacji traktuje zgodność z przepisami jako uciążliwą konieczność. Zaznaczanie pól przed audytem.

Ale w kontekście SAP, wymuszanie zgodności często wymaga kontroli technicznych.

Wymóg 5 PCI-DSS: „Zainstaluj oprogramowanie antywirusowe na wszystkich systemach powszechnie dotkniętych złośliwym oprogramowaniem” → SAP przechowuje dane kart płatniczych? Musicie mieć antywirus. bowbridge spełnia ten wymóg.

Reguła bezpieczeństwa HIPAA: „Wdrożyć procedury ochrony przed złośliwym oprogramowaniem” → SAP w ochronie zdrowia z danymi pacjentów? Ochrona przed złośliwym oprogramowaniem to wymóg.

Kontrola ISO27001 A.12.2.1: „Kontrole przeciwko złośliwemu oprogramowaniu” → Audytorzy będą pytać: „jak chronicie SAP przed złośliwym oprogramowaniem?” bowbridge to jasna odpowiedź.

Artykuł 21 NIS2: „Bezpieczeństwo sieci i systemów informacyjnych” → Infrastruktura krytyczna w UE musi mieć odpowiednie środki techniczne. bowbridge wspiera zgodność.

bowbridge nie tylko chroni technicznie, ale też dostarcza dowody dla audytorów:

• Dzienniki wszystkich zdarzeń skanowania
• Raporty zablokowanych zagrożeń
• Dowód, że rozwiązanie jest aktywne i aktualizowane
• Świadectwo należytej staranności

Częste pytania i mity

Mit 1: „Mamy zaporę ogniową, więc SAP jest bezpieczny” Zapora chroni obwód sieci. Nie chroni przed:

• Załącznikami phishingowymi
• Zagrożeniami wewnętrznymi
• Skompromitowanymi danymi uwierzytelniającymi użytkowników
• Przemieszczaniem się bocznym z innych systemów

Mit 2: „Nasze SAP nie jest w internecie” Może nie bezpośrednio, ale:

• Dostęp przez sieć VPN?
• Integracje z podmiotami trzecimi?
• Łączność z chmurą?
• Aplikacje mobilne?

Plus: większość włamań to zagrożenia wewnętrzne lub skompromitowane dane uwierzytelniające.

Mit 3: „To jest za drogie” W porównaniu do czego? Do kosztów kompromitacji?

• Okup za oprogramowanie szyfrujące: średnio 1-5 milionów dolarów
• Przestój: 100-500 tysięcy dolarów na godzinę
• Kary za naruszenie danych: RODO do 20 milionów euro
• Szkody reputacyjne: bezcenne

bowbridge to zazwyczaj mniej niż paredziesiąt tysięcy dolarów rocznie. Jeden zapobieżony incydent oznacza natychmiastowy zwrot z inwestycji.

Mit 4: „SAP ma wbudowane zabezpieczenia” SAP ma system autoryzacji. Kody transakcji. Segregację obowiązków.

Ale nie ma wbudowanej ochrony przed złośliwym oprogramowaniem. NW-VSI to tylko interfejs. Ktoś musi dostarczyć rzeczywistą możliwość skanowania.

Mit 5: „Wdrożenie będzie skomplikowane” bowbridge 4.0 Cloud: mniej niż 15 minut bowbridge lokalnie z pomocą SNOK: 1-2 dni

To nie jest projekt na miesiące.

Konkretny przykład: jak to może wyglądać w praktyce

Wyobraźmy sobie polską firmę produkcyjną. 500 milionów euro przychodu. SAP ERP lokalnie + planowana migracja do S/4HANA Cloud.

Problem:

• Brak ochrony przed złośliwym oprogramowaniem w SAP
• Audytorzy oznaczają to jako krytyczne odkrycie
• Planowana migracja do chmury wymaga zgodności w zakresie bezpieczeństwa
• Niedawny incydent phishingowy – załączniki ze złośliwym oprogramowaniem zostały przesłane przez użytkowników

Rozwiązanie SNOK + bowbridge:

Tydzień 1-2: Ocena

• SNOK wykonuje przegląd bezpieczeństwa środowiska SAP
• Identyfikuje 15 różnych punktów przesyłania plików (MM, SD, HR, aplikacje niestandardowe)
• Znajduje kilka „testowych” plików, które wyglądają podejrzanie

Tydzień 3: Dowód koncepcji

• Instalacja bowbridge w systemie QA
• Testowanie z różnymi typami plików
• Pomiar wydajności
• Zero wpływu na aplikacje

Tydzień 4: Projektowanie polityki

• Warsztaty z interesariuszami biznesowymi
• Określenie dozwolonych typów plików na aplikację
• Projektowanie procesu wyjątków dla szczególnych przypadków

Tydzień 5-6: Wdrożenie produkcyjne

• Instalacja w środowisku produkcyjnym
• 1 tydzień tylko monitorowania
• Przegląd: 2 fałszywe alarmy (szybko rozwiązane)
• Aktywacja trybu blokowania

Miesiąc 2-3: Stabilizacja

• Dostrajanie polityk
• Komunikacja i szkolenie użytkowników
• Integracja z ServiceNow dla zgłoszeń incydentów

Miesiąc 4+: Ciągłe zarządzanie

• Cotygodniowy przegląd dzienników bezpieczeństwa
• Kwartalne testy penetracyjne przez SNOK
• Przygotowanie do migracji S/4HANA Cloud (bowbridge 4.0 Cloud)

Wyniki:

✅ Osiągnięto zgodność (audytorzy zadowoleni)

✅ 15 zablokowanych szkodliwych przesyłań w pierwszym miesiącu (!!!)

✅ Zero fałszywych alarmów po dostrojeniu

✅ Mniej niż 1% wpływu na wydajność

✅ Gotowość do migracji do chmury

Zwrot z inwestycji: Jeden z zablokowanych plików to oprogramowanie szyfrujące. Szacowany koszt udanego ataku: 2-5 milionów euro. Koszt bowbridge: 40 tysięcy euro. Zwrot z inwestycji: 5000-12500%.

Przyszłość: co dalej z bowbridge?

bowbridge nie stoi w miejscu. Mapa rozwoju obejmuje:

Ulepszone wykrywanie wykorzystujące sztuczną inteligencję i uczenie maszynowe Analiza behawioralna, wykrywanie anomalii, ochrona przed lukami zero-day

Szersze wsparcie platform chmurowych Nie tylko SAP RISE, ale też SAP BTP, SAP Analytics Cloud, SAP SuccessFactors

Głębsza integracja z systemami zarządzania zdarzeniami bezpieczeństwa Udostępnianie informacji o zagrożeniach w czasie rzeczywistym, automatyczne przepływy pracy reakcji

Bezpieczeństwo kontenerów W miarę jak SAP przechodzi na wdrożenia kontenerowe (Kubernetes)

Rozszerzone wsparcie formatów plików Nowe formaty, nowe wektory zagrożeń

Podsumowanie: to nie jest opcjonalne

Wrócmy do początku. Amerykańska firma chemiczna, kwiecień 2025, złośliwe oprogramowanie Auto-Color.

Co by się stało gdyby mieli bowbridge?

Przesłanie szkodliwego archiwum ZIP → bowbridge skanuje → wykryto złośliwe oprogramowanie → przesyłanie zablokowane → atak zatrzymany w pierwszym kroku → zero kompromitacji.

Tak prosto.

581 skompromitowanych instancji SAP NetWeaver przez grupę Chaya_004? Z bowbridge: zero.

Instalacja oprogramowania szyfrującego RansomEXX? Blokada na etapie przesyłania.

Chińskie grupy wywiadowcze wykradające dane z infrastruktury krytycznej? Nie dostaną się do środka przez szkodliwe przesyłanie plików.

Pytanie na koniec

Nie chodzi o to czy wasz system SAP zostanie zaatakowany.

Chodzi o to kiedy.

I czy będziecie gotowi.

bowbridge + ekspertyza SNOK to nie jest uniwersalne rozwiązanie wszystkich problemów. Ale to najlepsza linia obrony w ochronie SAP przed złośliwym oprogramowaniem.

To kompleksowa ochrona która:

• Działa wewnątrz SAP (nie obok)
• Wykrywa zagrożenia które tradycyjny antywirus omija
• Blokuje ataki w czasie rzeczywistym
• Gotowa na zgodność z regulacjami od podstaw
• Natywna dla chmury na przyszłość SAP

•  

•  

•  

•  

Ponad 1000 instalacji na świecie. Ponad 12 lat certyfikacji SAP. Wiodące przedsiębiorstwa ufają bowbridge.

Teraz pytanie brzmi: czy wy też?

Bo sprawcy zagrożeń już podjęli swoją decyzję. Celują w SAP.

A ty? Będziesz czekał aż stanie się za późno?

Czy zainwestujesz we właściwą obronę teraz?

Wybór należy do Ciebie.

---

P.S. Jeśli po przeczytaniu tego artykułu myślicie „u nas tak się nie stanie” – to dokładnie tak myśleli wszyscy przed atakiem. W tym ta firma chemiczna w kwietniu 2025.

P.P.S. CVE-2025-31324 (ocena 10 na 10) była wykorzystywana jako luka zero-day zanim SAP ją załatał. To znaczy: nawet w pełni zaktualizowane systemy były podatne przez pewien czas. Obrona w głębi ma znaczenie. bowbridge to dodatkowa krytyczna warstwa.

P.P.P.S. Jeśli pracujecie w organizacji z systemami SAP i nie macie ochrony przed złośliwym oprogramowaniem w SAP – porozmawiajcie z SNOK. Ocena nic nie kosztuje. A może uratować firmę.

---

Podsumowanie od ekspertów SNOK

Jarosław Zdanowski, Partner SNOK: „Każdy dzień bez właściwej ochrony przed złośliwym oprogramowaniem w SAP to dzień ryzyka. Widzieliśmy już zbyt wiele przypadków, gdzie 'będzie dobrze’ zamieniło się w 'jak mogliśmy tego przeoczyć’. bowbridge to nie koszt – to inwestycja w ciągłość biznesu.”

Jacek Bugajski, CEO SNOK: „W SNOK wierzymy, że prawdziwe bezpieczeństwo SAP wymaga połączenia najlepszych technologii z głęboką ekspертyzą. Dlatego nasze partnerstwo z bowbridge to coś więcej niż relacja dostawca-integrator. To wspólna wizja bezpiecznego SAP dla polskich i europejskich firm. I jestem dumny, że możemy tę wizję realizować każdego dnia.”

---

Artykuł powstał na bazie publicznych raportów bezpieczeństwa, oficjalnych komunikatów SAP, analiz firm Darktrace, Onapsis, Mandiant, EclecticIQ, ReliaQuest oraz dokumentacji bowbridge Software GmbH. Wszystkie wymienione studia przypadków i incydenty bezpieczeństwa są realnymi wydarzeniami z lat 2024-2025.

---

Skontaktuj się z nami: Chcesz dowiedzieć się więcej o ochronie swoich systemów SAP z bowbridge? Zespół SNOK jest gotowy pomóc. 📧 Napisz do nas lub umów się na bezpłatną ocenę bezpieczeństwa SAP.

#BezpiecznyWtorekZeSNOK #SAPSecurity #Cybersecurity #bowbridge #SAP #ZłośliweOprogramowanie #AntiVirus #SNOK