public Комплексный подход к безопасности...
TRANSCRIPT
Комплексный подход к безопасности
ландшафта SAP систем
Public
Даниил Лузин
SAP Consulting
Что клиенты делают
Что клиенты не делают
Чем может помочь SAP Consulting
Содержание
Что клиенты делают?
© 2017 SAP SE or an SAP affiliate company. All rights reserved. 4Customer
Курсы и семинары УЦ SAP
Аудит ABAP кода
SQL инъекции, бэкдоры,
динамические переходы, XSS, …
ADM900 – Основы безопасности SAP систем
Основы аудита безопасности, основы ведения
полномочий пользователей (ABAP, Java),
инфраструктурная безопасность, GRC Access
Control, IdM, CUA, мониторинг, …
2015 2017 2017
ПАО «Сбербанк»: Security EngagementКарта модернизации
ADM940 – Концепция полномочий ABAP
Внедрение концепции полномочий, ведение
пользователей, ведение ролей, SU24, защита
таблиц, пользователей и транзакций, CUA,
децентрализованное администрирование, …
ADM950 – Управление безопасностью SAP систем
Процедуры внутреннего аудита безопасности, AIS, аудит
пользователей и полномочий, аудит системы,
мониторинг, логирование, управление изменениями, …
ADM960 – Безопасность платформы SAP NetWeaver
Модель угроз и средств защиты, настройки
безопасности, шифрование в SAP, настройка SNC,
SSL, SSO
Воркшопы SAP ONE Service
Аудит ABAP кода, Security Optimization
Service, аудит безопасности,
Configuration Validation, …
Инфодни SAP Security Days 2015
Векторы атак на SAP системы, обзор
самых опасных уязвимостей,
сервисы центра контроля
безопасности, …
Инфодни SAP Security Days 2017
Демо: взлом системы с помощью
недонастроенного RFC шлюза,
процедура обновления ролей после
апгрейда, UCONN, UI Logging, …
Security Optimization Service
Полномочия, стандартные
пользователи, настройки профилей,
управление изменениями, …
Проверка Baseline Security
Проверка настроек безопасности по
всему ландшафту на соответствие
шаблону минимальных требований
безопасности
Внедрение GRC Access Control
Соблюдение матрицы SoD,
процедуры экстренного доступа,
ускорение процедур
предоставления доступа
Сервисы Консалтинга и Поддержки SAP
Планы на будущее
Безопасность RFC
Безопасность шлюза
RFC, полномочий RFC,
RFC Callback, …
Безопасность HANA
Концепция полномочий
SAP HANA, …
2018
© 2017 SAP SE or an SAP affiliate company. All rights reserved. 5Customer
Курсы и семинары УЦ SAP
Аудит ABAP кода
SQL инъекции, бэкдоры,
динамические переходы, XSS, …
Клиент #2: MaxAttention Premium SupportКарта модернизации – 2 Года
Оптимизация ролей и полномочий
Избавление от SAP_ALL у технических
пользователей
Инфодни SAP Security Days 2017
Демо: взлом системы с помощью
недонастроенного RFC шлюза,
процедура обновления ролей после
апгрейда, UCONN, UI Logging, …
Проверка Baseline Security
Проверка настроек безопасности по
всему ландшафту на соответствие
шаблону минимальных требований
безопасности
Пилот Enterprize Threat Detection
Обнаружение атак и реакция в
реальном времени
Сервисы Консалтинга и Поддержки SAP
Планы на будущее
Безопасность RFC
Безопасность шлюза
RFC, полномочий RFC,
RFC Callback, …
Безопасность HANA
Концепция полномочий
SAP HANA, …
Внедрение S4/HANA
2017 2017 2018
Что клиенты не делают?
© 2017 SAP SE or an SAP affiliate company. All rights reserved. 7Customer
Подход к информационной безопасности
не имеют специального бюджета на проекты по безопасности
не имеют стандартизованного подхода к защите АС
не нанимают специалистов ИБ SAP в штат
Если область решаемых задач АС клиента не
является критичной или сильно регулируемой,
то клиенты, как правило:
© 2017 SAP SE or an SAP affiliate company. All rights reserved. 8Customer
?
?
Подход к информационной безопасности
Привлечение внимания к
проблеме:
• Отчет
EWA/SOS/Pentest
• Live демо взлома
• Интересный
внутренний проект
Скорость
инноваций как
правило выше
скорости внедрения
безопасности
?
Как минимум:
“БЕЗОПАСНОСТЬ НА
ВТОРОМ МЕСТЕ!“ ‒ не “третьем“ или
“последнем“
Чем может помочь SAP
Consulting?
Сервисы
1 Аудит клиентского ABAP кода
Отчет о потенциальных уязвимостях в
клиентском ABAP коде, trial продукта
CVA
15* дней
2 Быстрая проверка разграничения ролейОтчет о рисках разделения
полномочий в ролях10 дней
3 Аудит конфигурации SAP систем
Отчет о потенциальных уязвимостях в
конфигурации SAP систем,
инструменты мониторинга
10 дней
4 Быстрое избавление от SAP_ALL
Избавление от технических супер-
пользователей в продуктивных
системах
15 дней
5 Быстрое внедрение ролей и полномочий под S/4 HANAВнедрение ролевой модели для S/4
HANA55 дней
6 Обеспечение безопасности RFC
Отчет о потенциальных уязвимостях в
соединениях, рекомендации по
исправлению
15 дней
Proof-of-Concept
7 Прототип: Enterprise Threat Detection
Прототип системы анализа
актуального состояния систем,
реагирование на атаки в реальном
времени
10 дней
8Прототип: Журналирование и маскирование
пользовательского интерфейса
Прототип системы, реагирующей на
доступ к критичным данным
(уведомления SIEM, по почте – по
сценариям заказчика)
По запросу
9 Прототип: GRC Access ControlСтандартные сценарии GRC Access
Control80 дней
10Прототип: Электронная подпись в соответствии с лучшими
практиками
Ядро наложения ЭП в соответствии с
лучшими практиками и в
соответствии с законодательством
(ФЗ-63)
20 дней
Семинары
11 Воркшоп: Дорожная карта SAP безопасностиПостроение дорожной карты под
клиента, отчет о текущем состоянии5 дней
* ‒ здесь и далее: индикативная оценка
Квартал 1
Сейчас!
В 2017
Отложить
Квартал 2
Квартал 3
Квартал 4
Спасибо за внимание!
Вопросы?
Даниил Лузин
+7 926 452 0425
Ведущий консультант
Консалтинг ООО «САП СНГ»