【新闻摘要】在刚刚结束的CanSecWest安全会议上，英特尔的产品安全响应负责人Bruce Monroe公布了基于邀请制的漏洞赏金计划。该计划是和Hackerone合作推出的，旨在鼓励全球的安全研究者在英特尔的各种软件，固件和硬件中寻找安全漏洞。对漏洞的严重性，该公司会使用cvss3.0进行基本打分，然后结合产品的目标和威胁模型进行调整。其中最严重的硬件漏洞将给予3万美元奖励。该计划不包括英特尔安全部门的产品，任何第三方产品，开源产品及基本的Web基础设施。这是英特尔首次推出漏洞赏金计划，说明作为最重要的处理器供应商，其产品硬件，固件的安全性得到了越来越多的关注。

　　【小云评论】事实上在2015年，微软的研究人员和思杰公司（Xen）的研究人员就公开过一个英特尔处理的拒绝执行漏洞，该漏洞可以让恶意的虚拟机对同一台物理机上其它客户虚拟机执行拒绝服务攻击。谷歌的Project Zero项目也曾经基于Row Hammer的硬件漏洞开发了沙箱逃逸的攻击研究，并有专门的团队进行硬件安全的研究。作为云服务提供商，基础硬件的安全有着至关重要的影响，拥有对硬件，固件安全漏洞的应急响应能力，并尽可能的展开前沿性的硬件安全研究。未来此块的发现能力也是衡量公司安全能力的指标之一。

　　10.ERP攻击需要逐步提升关注度

　　新闻链接：

　　【新闻摘要】网络安全专家处理企业资源计划（ERP）软件需要更多关注，本周的几个发展重点是企业最关键业务系统的安全聚焦。SAP HANA提供了一个全新且非常关键的漏洞，改漏洞击级别为最高严重性级别。一项新的调查报告显示，安全专业人士发现攻击者正在寻求利用这样的漏洞，并表示在不久的将来会增加对ERP攻击。ERP安全公司Onapsis在SAP HANA的用户自助服务组件中发现了主要的漏洞，并在本月的“SAP安全注释”中获得了9.8的通用漏洞评分系统（CVSS）进行漏洞评级。如果该漏洞被利用，它将允许完全远程访问，无需访问任何凭据。据了解：“这种访问级别将允许攻击者对HANA支持的业务信息和流程执行任何操作，包括创建，窃取，更改和/或删除敏感信息。 “如果这些漏洞被利用，组织可能会面临严重的业务后果。”据了解，目前研究人员正在计划对SAP 图形用户界面客户端中的一个关键漏洞进行额外的行业审查，他认为这具有更广泛的安装基础，并可能影响到数百万SAP用户。虽然还有很多工作要做，但ERP安全性在过去几年中越来越多地打击了企业安全团队的雷达。去年，美国CERT发布了一份报告，警告全球至少有36家机构受到攻击，利用SAP在SAP上运行的Invoker Servlet功能中的漏洞，这些漏洞所构成的威胁从理论领域转向了现实。 Java平台。本周，Crowd Research Partners的一份新报告发现，89％的安全专家预计会对ERP系统造成更多的攻击。大约1/3的专家预计这些攻击将显著增加。

　　【小云评论】传统的ERP系统不管在互联网企业还是在传统企业都有很大的使用比例，包括ORACLE Peoplesoft、EBS、SAP、微软等ERP平台；这些平台由于是商业化的，很少人能够拿到代码，企业和厂家会以为安全漏洞较少，但实际情况高危和严重的漏洞不断的被挖掘出来，成为入侵企业之后的攻击目标以及成为入侵企业的入口；目前做ERP的安全公司不是很多，传统企业在做ERP项目的时候也很少做安全相关的实施，目前看到的企业包括ERPSCAN、onapsis等，目前的解决方案还是漏洞挖掘、漏洞扫描、ERP解决方案为主；另外还针对SAP ABAP以及Peoplesoft I进行源代码审核等业务。漏洞并不会因为小众而被黑客忽略，反而是容易让企业产生问题的点。未来在无论是企业内外的ERP项目，均需要对安全这块有着足够严格的把关，选择安全可信的云服务商才是关键。