Integracja SAP do korporacyjnych wymagań bezpieczeństwa

IBM Security Systems

Integracja SAP do korporacyjnych wymagań bezpieczeństwa Zbigniew Szmigiero | [email protected] Customer Technical Professional

© 2012 IBM Corporation



HR CRM

Finanse Logistyka

SAP – Wschodząca gwiazda (już od 40 lat)

SAP - kilka faktów…

Założona w 1972 przez 5 byłych pracowników IBM

Światowy lider rozwiązań biznesowych

Trzeci co do wielkości niezależny producent oprogramowania na świecie

Ponad 197,000 klientów w 120+ krajach, 74% z listy Forbes 500

10 million użytkowników, 30,000 instalacji, 1000 partnerów, 21 rozwiązań dla przedsiębiorstw

Ponad 55 tysięcy pracowników w 130+ krajach

Roczne przychody (IFRS) to 14,23 miliarda €

... Ale także krytyczna dla biznesu infrastruktura

Systemy SAP ERP przechowują i przetwarzają większość krytycznych dla biznesu informacji w organizacji

Konsekwencje naruszeń mają znaczący wpływ na biznes

Operacje finansowe

Kadry

Logistyka

CRM

Jeśli platforma SAP jest podatna na atak może to prowadzić do:

WYCIEKU/SZPIEGOSTWA:

Kradzież danych klientów/dostawców/osobowych, planów finansowych, stanu

kont, informacji o sprzedaży, wartości intelektualnej

SABOTAŻU:

Paraliż organizacji poprzez unieruchomienie systemu SAP, możliwość

komunikacji z innymi systemami lub zniszczenie krytycznych danych ważnych

do podejmowania decyzji.

FRAUDU: Modyfikacja informacji finansowych, fałszowanie danych o

zamówieniach/sprzedaży, modyfikacja danych bankowych, kont



MIT: Ataki na SAP systemy możliwe tylko z wewnątrz

Dane o systemach SAP są zbierane w sieci

• Informacje z Google, Shodan, skanów Nmap, etc

Rośnie liczba systemów SAP dostępnych przez internet:

Dispatcher, Message server, SapHostcontrol, Web Services,

Solution Manager, etc

Różne komponenty SAP mogą być wyszukiwane w łatwy sposób:

• inurl:/irj/portal (Enterprise Portal)

• inurl:/sap/bc/bsp (SAP Web Application Server)

• inurl:/scripts/wgate (SAP ITS)

• inurl:infoviewapp (SAP Business Objects)

SAP – Nowy cel

SAP Security Notes - By Oct 22, 2012, a total of 2432 notes

Source: https://service.sap-ag.de/securitynotes

0

100

200

300

400

500

600

700

800

900

1000

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Liczba SAP Security Note rok do roku

„Ponad 95% systemów SAP było poddawane analizie

przez hackerów podczas udanych ataków “ (Onapsis, March 2012)

Różnice pomiędzy kosztami a korzyściami w inwestycje

związane z bezpieczeństwem IT

From the study

„The STATE of RISK-

BASED

SECURITY

MANAGEMENT“

by Ponemon

Institute llc, 2012

Liczba SAP Security Notes wzrasta drastycznie w ostatnim

okresie.

• Security Note zazwyczaj adresuje jedną lub więcej podatności



SAP – Wyzwania w bezpieczeństwie

SAP i obszar bezpieczeństwa

• Aplikacje korporacyjne rozrastają się i są coraz

bardziej złożone

• Integracja z innymi podmiotami lawinowo

zwiększa obszar połączeń aplikacyjnych między

nimi

• Aplikacje i Systemy SAP nie są już tylko

tradycyjnymi aplikacjami biznesowymi

• SAP rozszerza funkcje, platformy, komponenty i

rozwiązania biznesowe wliczając w to: Cloud,

technologie bazodanowe, BAnalytics, etc.

• Rozwiązania SAP coraz częściej są powiązane z

włanością intelektualną i danymi poufnymi

• Systemy SAP stały się pożądanym celem

złośliwych ataków

• Wiele aplikacji SAP było projektowane jako

wsparcie procesów ale stały się publicznie

dostępne

Słabości kodu własnego

• Wiele organizacji wykorzystuje własne aplikacje

ABAP

• Kod własny zazwyczaj oznacza brak

niezależnego testowania

• Programowanie ABAP często jest zlecane

Zgodność, Wiedza ekspercka, Zarządzanie

Cyklem Życia Aplikacji

• Wymagania dla aplikacji związane z regulatorami

• Testowanie pod względem bezpieczeństwa

aplikacji SAP Java (NetWeaver) wymaga wiedzy

eksperckiej

• Ręczne testowanie kodu ABAP jest

czasochłonne i wymaga wiedzy ekperckiej

• Wykrycie podatności na wczesnym etapie jest

kluczowe

To wszystko wskazuje SAP jako środowisko podatne i wystawione na

szeroki obszar zagrożeń.



Gdzie chronić?

5 IBM Confidential



SAP – Gdzie chronić?



Ochrona przed wyciekiem

Wyciek poprzez zapytanie

Wyciek poprzez dostęp do plików

Wyciek poprzez dostęp do archiwów

Wyciek ze środowisk preprodukcyjnych



Jak atakować?

8 IBM Confidential



SAP – Jak atakować?



Jak chronić?

10 IBM Confidential



GRC: Identity & Access Management for SAP

Provisioning/Deprovisiong: Quickly setup

and/or recertify SAP user account access.

Quickly locate and manage invalid SAP

user accounts.

– One Security Enforcement point

– Leveraging SAP Idm Tools

– SAP certified solutions

Productivity: Increase user productivity

through convenient yet secure single

sign-on support

– End-to-end SAP IAM solution

– Central Security Policy maintenance

incl. SAP

– One enterprise single sign on

Access and Audit: Control access to SAP

consistently

– Provides role based access control

to all SAP applications

– Enables SAP user auditing

– Enables SAP user logging

Shared Account Management for SAP

Privileged Identity Management for SAP

Cisco Secure

ACS

Cisco Secure

ACS

Business Applications

Authoritative Identity Source

(Human Resources, Customer Master, etc.)

TIM Trusted Identity Store

Accounts

jcd0895

jdoe03

doej

John C. Doe

Sarah K. Smith

smiths17

Sarah_s4

ackerh05

nbody

Sarah’s Manager

Recertification

Request

Access

Revalidated and

Audited

11

22

33

44

55

e.g. SAP HCM/HR

SAP HR Hire ITIM Approval Workflow

and User Provisioning SAP ERP

Account



12

Big Data

Environments

DATA

InfoSphere

BigInsights



13

InfoSphere Guardium – personalizacja dostępu w puli połączeń

Problem: Serwer aplikacyjny używa kont generycznych

– brak personalizacji

Rozwiązanie: Śledzenie dostępu na poziomie aplikacji – Jednoznaczna identyfikacja a nie oparta o znaczniki czasu

– Gotowa integracja z systemami - Oracle EBS, PeopleSoft, SAP,

Siebel, Business Objects, Cognos, itd.)

– Integracja z serwerami aplikacyjnymi WebLogic, WebSphere,

Oracle AS

– API do integracji z aplikacjami

– Pełna integracja z WAF F5 ASM

Application

Server

Database

Server

App User

Joe Marc



14

W SAP - umówienie spotkania przez BOLLINGER



15



16

W SAP – zaproszenie wysłane przez DDIC



17



18

InfoSphere Guardium – IPS aplikacyjny

Przerwanie sesji

Hold SQL

Połączenie rozłączone

Naruszenie polityki: zerwanie połączenia

Zapytanie SQL

Sprawdzenie

zgodności

z polityką

Oracle, DB2, MySQL,

Sybase, itd.

SQL

Serwery

aplikacji

S-GATE

Uprzywilejowani

użytkownicy



19

InfoSphere Guardium – redakcja

Redakcja Wrażliwych danych

Unauthorized Users

Issue SQL

Oracle, DB2,

MySQL, Sybase, etc.

SQL Application Servers

Outsourced DBA

Niezależne od bazy danych

Redakcja danych wrażliwych

Brak zmian w bazie

Brak zmian w aplikacji

S-TAP

Dane

przechowywane w

bazie

Widok użytkownika na dane w bazie



IBM InfoSphere Guardium Encryption Expert

Protect sensitive

enterprise information and

avoid production data

breaches

Minimize impact to

applications

Limit privileged user

access to sensitive data

Requirements

Benefits

Ensure compliance with

data encryption

Comply with government

and industry regulations

(for eg. PCI-DSS)

Reduce internal and

external risk and threat

exposure

Proactively enforce

separation of duties

Ensure compliance and protect

enterprise data with encryption

Database

Encryption Expert

John Smith 401 Main Street Apt 2076 Austin, TX 78745-4548

John Smith 401 Main Street Apt 2076 Austin, TX 78745-4548

*&^$ !@#)( ~|” +_)? $%~:>> %^$#%&, >< <>?_)-^%~~

Decrypt

*&^$ !@#)( ~|” +_)? $%~:>> %^$#%&, >< <>?_)-^%~~

Encrypt

Personal identifiable

information is encrypted

making it meaningless

without a proper key.



IBM Optim Data Privacy Solution for SAP® Software

What is Optim Data Privacy Solution for SAP software? – A pre-packaged solution for the SAP HR (HCM) module for SAP releases ERP 6.0 and 4.6C on Oracle

and DB2 – Offers contextual, application-aware, persistent masking techniques to protect confidential data with

predefined templates for masking the sensitive fields in SAP system

The Optim Data Privacy Solution for SAP currently focuses on three high-level functional areas within SAP HCM module

• Personal Administration – SAP HCM PA • Recruitment - SAP HCM PB • Personal Planning and Development – SAP HCM PD

Optim will include support for other SAP modules like FI-CO, CRM, SCM, SRM and other key functional areas as we move ahead

Application-aware masking capabilities, ensuring masked data is

realistic but fictional

Data is masked with realistic but fictional information

Context-aware, prepackaged data masking routines, making it

easy to de-identify elements such as credit card numbers & email

addresses

Data is masked with contextually correct data to

preserve integrity of test data



22

IBM InfoSphere Optim Test Data Management Solution

Requirements

Benefits

• Deploy new functionality more quickly and with improved quality

• Easily refresh & maintain test environments

• Protect sensitive information from misuse & fraud with data masking

• Accelerate delivery of test data through refresh

• Create referentially intact, “right-sized” test databases

• Automate test result comparisons to identify hidden errors

• Protect confidential data used in test, training & development

• Shorten iterative testing cycles and accelerate time to market

Create “right-size”

production-like environments

for application testing

Test Data

Management

100 GB

25 GB

50 GB

25 GB

2TB

Development

Unit Test

Training Integration Test

-Subset

-Mask

Production or

Production Clone

InfoSphere Optim TDM supports data on distributed platforms (LUW) and z/OS.

Out-of-the-box subset support for packaged applications ERP/CRM solutions as well as :

Other

-Compare

-Refresh



Applications - Vulnerability Scanning for SAP

SAP Enterprise Integration

AppScan Source and CodeProfiler for SAP ABAP applications

• Static Application Security Testing solution (source code

scanning) for various languages including Java and SAP

ABAP

• Enforce automates code analysis for security defects,

standards and service level agreements (SLAs)

• Regains control of ABAP code

Integration Features

– CodeProfiler provides advanced analysis of SAP ABAP

source

• Quick scanning without complex setup

• Detailed technical descriptions of vulnerability root causes

• Explains how vulnerabilities introduce risk and potential

impact

• Guidance to accelerate the correction process

– Static (white box) analysis of client-side issues, such as DOM-

based cross site scripting and code injection to secure SAP

and non-SAP web portals/applications and SOA middleware

– Automated dynamic (black box) testing of web vulnerabilities

and web services, Web 2.0, Rich Internet Applications

(JavaScript, Ajax, and Adobe Flash)

– Secures SAP and non-SAP web portals/applications and SOA

middleware

AppScan Enterprise Dynamic

Analysis Scanner

AppScan Source

AppScan Enterprise Server

AppScan Standard

Virtual Forge CodeProfiler

ABAP results

Black Box

White Box

White Box

Black Box

SAP Source Code scanning and Dynamic

Analysis

Ensure the security and compliance of SAP

applications: SAP source code scanning for application

vulnerabilities

Lower total cost-of-ownership:

Vulnerabilities can be corrected early in the product

development cycle and before becoming security risks



IBM Security Information and Event Management for SAP Enterprise Applications

SAP Environment Support (Layers to Secure and Audit)

Presentation

– Host protection products and identification products

to ensure the system logged on is not under control

of malware.

Network

– Network transaction (flow) data, router logs,

predictive risk

Applications

– SAP Auditing, Host Auditing

Host

– Operating System underlying each each server in

the

– VMware vSphere for security virtual systems/data

Databases

– Broad support of all popular database products

– Database activity monitoring (DAM) products.

QRadar

SAP Integration



SAP on System z Security - Best Practice Solutions

Common Criteria EAL 5 certification

DB2 trusted context with SAP

enhancing authentication

DB2 database roles with SAP

enhancing authorization and auditing

Encrypting certain SAP tables in

DB2 with strong encryption

DS8000 full disk encryption for DB2

and SAP strong encryption

TS1120 tape drive encryption for DB2

and SAP strong encryption

DRDA data stream encryption for

SAP app server DB2 data traffic



ibm.com/security

© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational

purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages

arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the

effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the

applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services

do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in

these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to

be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are

trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product,

or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection

and response to improper access from within and outside your enterprise. Improper access can result in information being altered,

destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product

should be considered completely secure and no single product or security measure can be completely effective in preventing improper

access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve

additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT

WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

Integracja SAP do korporacyjnych wymagań bezpieczeństwa

Documents

Transcript of Integracja SAP do korporacyjnych wymagań bezpieczeństwa