Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Обеспечение безопасности SAP-систем

No description
by

Leonid Kats

on 9 February 2011

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Обеспечение безопасности SAP-систем

Обеспечение безопасности
SAP-систем Илья Медведовский, к.т.н.
Директор Digital Security О компании Опыт в области безопасности SAP Угрозы безопасности SAP
Примеры уязвимостей Предложения по сотрудничеству
Digital Security – ведущая российская консалтинговая компания в области аудита информационной безопасности, анализа защищенности информационных систем, поиска и исследования уязвимостей ERP-систем и бизнес-приложений.
Основные направления деятельности Комплексный аудит информационной безопасности с использованием методики активного аудита
Тестирование на проникновение из сети Интернет
Анализ защищенности веб- и бизнес-приложений, ERP-систем, например, SAP ERP, SAP SRM, SAP CRM
Анализ защищенности банк-клиентов и автоматизированных банковских систем (АБС)
Аудит SCADA и АСУ ТП и т.д. Digital Security обладает ведущим в России исследовательским центром в области информационной безопасности Digital Security Reseach Group по поиску и исследованию уязвимостей в различных приложениях и системах, пользующимся международным признанием и получившим множество официальных благодарностей от таких мировых лидеров индустрии информационных технологий, как Oracle, SAP, Apache, SUN, IBM, Alcatel и др.





Начиная с 2010 года, специалисты Digital Security Reseach Group стали участниками консорциума OWASP и возглавляют проект, посвященный безопасности корпоративных бизнес-приложений OWASP_EAS. Клиенты Digital Security DSecRG c 2007 года занимается поиском и исследованием уязвимостей в SAP. За время работы с 2007 года специалисты DSecRG наладили с SAP партнерские отношения в области поиска и анализа уязвимостей:

За это время опубликовано 25 уязвимостей в различных продуктах SAP

Более 100 уязвимостей находится в процессе согласования подробностей и исправления производителем

SAP ежемесячно выражает благодарности sdn.sap.com за помощь в повышении безопасности своих продуктов DSecRG

DSecRG на первом месте по количеству обнаруженных уязвимостей в SAP среди всех компаний в мире

В числе исследуемых приложений SAP NetWeaver, SAP J2EE engine, SAP Portal, SAPGUI, SAP Crystal Reports, SAPDB, SAP NWBC, SAP SRM(Cfolders), SAP Kernel, SAP Basis, RFC SDK DSecRG и SAP DSecRG является постоянным участником ведущих российских и международных конференций в области новых методик взлома и защиты, рассказывая об уязвимостях в SAP и других бизнес-приложениях, среди которых T2 (Финляндия), Troopers (Германия), CONFidence (Польша), Hack In The Box (Нидерланды и Малазия), Source Barcelona (Испания), DEEPSEC (Австрия), Black Hat DC (USA).
В перечне обсуждаемых вопросов и представляемых докладов DSecRG:

Technical aspects of SAP security
Some Notes on SAP Security
Attacking SAP Users with Sapsploit
ERP Security. Myths, Problems, Solutions
Attacking SAP Users Using Sapsploit Extended
Forgotten World: Corporate Business Application Systems

Ключевые угрозы для бизнеса Шпионаж
Кража финансовой информации
Кража персональных данных
Кража корпоративных секретов
Списки поставщиков и контрагентов

Саботаж
Отказ в обслуживании
Модификация финансовой отчетности
Нарушение работоспособности доверенных систем (SCADA)

Мошенничество (фрод)
Подмена данных о платежах
Ложные транзакции Мифы безопасности SAP Недоступность из интернет

Незаинтересованность злоумышленников

Безопасность SAP – это только SOD (разграничение доступа по ролям)
Громкие новости ERP systems expose firms to industrial espionage
www.computing.co.uk январь 2011 (интервью Digital Security)


Атаки на серверы SAP через незащищенные WEB-интерфейсы
www.eweek.com ноябрь 2011


Приложения SAP уязвимы к атакам, используемым в Stuxnet
www.pcworld.com ноябрь 2010


Уязвимости в SAP могут привести к промышленному шпионажу, саботажу и фроду
www.reuters.com апрель 2010


Бэкдоры в SAP-системах
www.infoworld.com апрель 2010 Опыт реализации проектов по безопасности SAP: «ТНК-BP» Цель проектов:
Аудит защищенности SAP ERP, SAP CRM,SAP XI


Перечень работ:
Аудит настроек безопасности на уровне сети, ОС, СУБД
Аудит платформы SAP (NetWeaver, Basis, J2EE engine)
Аудит ролевой модели прав доступа
Аудит процедуры переноса Перечень предполагаемых работ по SAP Portal Разработка архитектуры безопасности системы

Разработка безопасной конфигурации сетевой архитектуры
Разработка безопасных настроек ОС
Разработка безопасных настроек СУБД
Разработка безопасных настроек SAP Portal и его сопутствующих компонентов (Knowledge management, Collaboration,TREX)

Регулярный анализ защищенности приложения в процессе разработки

Анализ защищенности разработанных приложений (анализ кода опционально)
Анализ архитектуры безопасности
Внедрение сканера безопасности ERPSCAN Security Scanner for SAP NetWeaver


Итоговая оценка защищенности продакшн-системы

Аудит архитектуры безопасности
Аудит ролей
Анализ безопасности разработанных приложений
Тест на проникновение Поддержка уровня безопасности приложения в процессе функционирования

Консалтинг в области безопасности SAP-решения
Регулярный аудит защищенности системы и тест на проникновение
Поддержка и регулярное обновление ERPSCAN Security Scanner for SAP NetWeaver
Этап функционирования Этап проектирования Этап внедрения
Full transcript