Обеспечение защищенности корпоративных систем управления ресурсами предприятия (ERP систем) является одной из важнейших задач служб информационной безопасности современных компаний. Значительная часть корпоративных информационных ресурсов хранится и обрабатывается ERP системами, от их надежной работы зависит множество бизнес-процессов. И в итоге именно они зачастую становятся основной целью злоумышленника.

Компания SAP – крупнейший мировой производитель ERP систем. Именно поэтому мы уделяем особое внимание анализу безопасности продуктов SAP и предлагаем комплексный аудит защищенности SAP-систем в качестве отдельной услуги.

SAP-системы представляют собой сложные программные решения с присущими им особенностями и недостатками. Один из таких недостатков - наличие большого количества проблем безопасности, требующих тщательного анализа в условиях ограниченного количества информации по данной теме.

Широко известная ситуация с проблемами пересечения привилегий (Матрица SOD) - это далеко не всё, на что необходимо обращать внимание в процессе безопасной настройки SAP. Специалисты Digital Security давно сотрудничают c корпорацией SAP в области поиска и анализа уязвимостей и наш опыт, а также исследования известных западных специалистов показывают, что существует огромное количество способов получения административного доступа в SAP-систему даже в случае идеально настроенной системы привилегий.

Используемая нам методика аудита позволяет оценить защищенность на каждом уровне (сетевом, ОС, СУБД, прикладном, презентационном), что дает возможность максимально полно и глубоко проанализировать возможные уязвимости системы и разработать эффективные рекомендации по повышению ее защищенности.

Ниже представлена лишь основная часть проверок:

- технологический аудит на сетевом уровне (SAP Router, RFC интерфейсы, шифрование);
- технологический аудит на уровне ОС (уязвимости, стандартные пользователи, права доступа);
- технологический аудит на уровне СУБД в рамках SAP системы (уязвимости, стандартные пользователи, права доступа);
- технологический аудит на прикладном уровне SAP (стандартные пароли, парольная политика, уязвимости сервера приложений);
- внутренний аудит ролей и привилегий SAP системы (доступ к критичным профилям, транзакциям, лог-файлам, backup’ам);
- процесс организации разработки (процедуры контроля изменений);
- технологические проверки клиентских компонентов системы SAP (конфигурации, хранение паролей, уязвимости клиентского ПО);
- аудит процедур управления ИБ в системе SAP на соответствие ISO/IEC 27001:2005;
- и многое другое.

Результаты

По итогам работы вы получаете отчёт, содержащий:

1. Обнаруженные уязвимости и недостатки конфигурации;
2. Результаты реализации обнаруженных уязвимостей и соответствующие риски;
3. Подробные рекомендации по повышению защищённости тестируемой системы с учётом ее особенностей;

Статьи по теме:
Уязвимость переполнения буфера в приложении SAP GUI
Безопасность SAP: атаки на SAP-клиентов
Основные мифы безопасности бизнес приложений
Безопасность бизнес-приложений
Безопасность ERP и основные атаки на клиентов SAP

Примеры выполненных работ:
Компания Digital Security завершила проект по аудиту защищенности системы автоматизации работы с поставщиками для ТНК-BP

Форма заказа:

наверх