Bezpečnosť SAP

Systémy SAP obsahujú veľmi citlivé finančné, personálne, zákaznícke a dodávateľské dáta, ktorých zabezpečenie pred neoprávneným použitím prestavuje podstatnú výzvu pre organizácie štátnej správy a komerčného sektora. Útočníci môžu využiť̌ dostupné a zverejnené zraniteľnosti v operačných systémoch, databázových, aplikačných a webových serveroch na prienik do systému a spôsobiť̌ tak nemalé škody (špionáž, sabotáž, podvod).

„Podľa doteraz realizovaných testov bola u väčšiny zákazníkov nájdená minimálne jedna kritická zraniteľnosť, ktorá môže viesť ku kompletnej kompromitácií systému“

Hlavné problémy z pohľadu zabezpečenia systémov SAP

  • IT alebo Security tím má relatívne malé (ak vôbec) poznatky o špecifikách prostredia SAP
  • SAP tím má zas malé vedomosti o technických rizikách ako škodlivý kód, prienik a podobne.
  • Kvalita implementácie systému (často krát nie sú dodržiavané doporučenia výrobcu)
  • Komplexnosť systému (SAP je integrovaný s viacerými podnikovými systémami, ktoré tak môžu byť vstupným bodom útočníka)
  • Správa konfiguračných zmien (tisíce konfiguračných položiek, ktoré v čase najmä z dôvodov integrácie s inými systémami môžu narušiť bezpečnosť celku)
  • Aplikácia bezpečnostných záplat (záplaty niekedy implementované s výrazným onerskorením , komplexnosť implementácie záplat, zanedbanie pravidelného aplikovania)

Riešenie

Pre dôsledne zabezpečenie systémov SAP a kontrolu súladu s bezpečnostnými štandartami (SAP Security Guidelines, PCI DSS, SOX, BIZEC TEC11) sa využitím certifikovaného nástroja Onapsis X1 simuluje proces vykonávaný na strane útočníka v jeho snahe získať prístup k platforme SAP zneužitím zraniteľností komponentov a nastavení, ktoré tvoria prostredie informačného systému SAP. Bezpečnostný špecialista „napodobňuje“ správanie útočníka, identifikáciu cieľových systémov v sieti zákazníka, detekciu a zneužitie existujúcich zraniteľností s cieľom kompromitácie systému. Na demonštráciu zneužita zraniteľností prítomných v čase testu sú použité len overené a bezpečné metódy exploitácie tak, aby bolo možné ilustrovať skutočný vplyv narušenia bezpečnosti a možné dopady na organizáciu.

SAP NetWeaver
Partneri
 
Kontakt

ALISON Slovakia s.r.o.
Tomášikova ulica 12735/64
831 04 Bratislava

Tel: +421 2 59 499 311
Fax: +421 2 59 499 310
E-mail: helpdesk@alison-group.sk