Integracja SAP do korporacyjnych wymagań bezpieczeństwa

1,719 views
1,623 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,719
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Integracja SAP do korporacyjnych wymagań bezpieczeństwa

  1. 1. IBM Security Systems Integracja SAP do korporacyjnych wymagań bezpieczeństwa Zbigniew Szmigiero | zszmigiero@pl.ibm.com Customer Technical Professional© 2012 IBM Corporation
  2. 2. IBM Security SystemsSAP – Wschodząca gwiazda (już od 40 lat) SAP - kilka faktów…  Założona w 1972 przez 5 byłych pracowników IBM   Światowy lider rozwiązań biznesowych  Trzeci co do wielkości niezależny producent oprogramowania na świecie  Ponad 197,000 klientów w 120+ krajach, 74% z listy Forbes 500  10 million użytkowników, 30,000 instalacji, 1000 partnerów, 21 rozwiązań dla przedsiębiorstw  Ponad 55 tysięcy pracowników w 130+ krajach HR CRM  Roczne przychody (IFRS) to 14,23 miliarda € ... Ale także krytyczna dla biznesu infrastruktura  Systemy SAP ERP przechowują i przetwarzają większość krytycznych dla biznesu informacji w organizacji  Konsekwencje naruszeń mają znaczący wpływ na biznes Operacje finansowe Kadry Logistyka CRM  Jeśli platforma SAP jest podatna na atak może to prowadzić do: Finanse Logistyka  WYCIEKU/SZPIEGOSTWA: Kradzież danych klientów/dostawców/osobowych, planów finansowych, stanu kont, informacji o sprzedaży, wartości intelektualnej  SABOTAŻU: Paraliż organizacji poprzez unieruchomienie systemu SAP, możliwość komunikacji z innymi systemami lub zniszczenie krytycznych danych ważnych do podejmowania decyzji.  FRAUDU: Modyfikacja informacji finansowych, fałszowanie danych o zamówieniach/sprzedaży, modyfikacja danych bankowych, kont © 2012 IBM Corporation
  3. 3. IBM Security SystemsSAP – Nowy cel 1000 900 Liczba SAP Security Notes wzrasta drastycznie w ostatnim 800 700 okresie. 600 • Security Note zazwyczaj adresuje jedną lub więcej podatności 500 Liczba SAP Security Note rok do roku 400 300 200 MIT: Ataki na SAP systemy możliwe tylko z wewnątrz 100 Dane o systemach SAP są zbierane w sieci 0 • Informacje z Google, Shodan, skanów Nmap, etc 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 SAP Security Notes - By Oct 22, 2012, a total of 2432 notes Rośnie liczba systemów SAP dostępnych przez internet: Source: https://service.sap-ag.de/securitynotes Dispatcher, Message server, SapHostcontrol, Web Services, Solution Manager, etc Różne komponenty SAP mogą być wyszukiwane w łatwy sposób: • inurl:/irj/portal (Enterprise Portal) Różnice pomiędzy kosztami a korzyściami w inwestycje • inurl:/sap/bc/bsp (SAP Web Application Server) związane z bezpieczeństwem IT • inurl:/scripts/wgate (SAP ITS) • inurl:infoviewapp (SAP Business Objects) From the study „The STATE of RISK- BASED SECURITY MANAGEMENT“ by Ponemon Institute llc, 2012 „Ponad 95% systemów SAP było poddawane analizie przez hackerów podczas udanych ataków “ (Onapsis, March 2012) © 2012 IBM Corporation
  4. 4. IBM Security SystemsSAP – Wyzwania w bezpieczeństwie SAP i obszar bezpieczeństwa Słabości kodu własnego • Aplikacje korporacyjne rozrastają się i są coraz • Wiele organizacji wykorzystuje własne aplikacje bardziej złożone ABAP • Integracja z innymi podmiotami lawinowo • Kod własny zazwyczaj oznacza brak zwiększa obszar połączeń aplikacyjnych między niezależnego testowania nimi • Programowanie ABAP często jest zlecane • Aplikacje i Systemy SAP nie są już tylko tradycyjnymi aplikacjami biznesowymi Zgodność, Wiedza ekspercka, Zarządzanie • SAP rozszerza funkcje, platformy, komponenty i rozwiązania biznesowe wliczając w to: Cloud, Cyklem Życia Aplikacji technologie bazodanowe, BAnalytics, etc. • Wymagania dla aplikacji związane z regulatorami • Rozwiązania SAP coraz częściej są powiązane z • Testowanie pod względem bezpieczeństwa włanością intelektualną i danymi poufnymi aplikacji SAP Java (NetWeaver) wymaga wiedzy eksperckiej • Systemy SAP stały się pożądanym celem złośliwych ataków • Ręczne testowanie kodu ABAP jest czasochłonne i wymaga wiedzy ekperckiej • Wiele aplikacji SAP było projektowane jako wsparcie procesów ale stały się publicznie • Wykrycie podatności na wczesnym etapie jest dostępne kluczowe To wszystko wskazuje SAP jako środowisko podatne i wystawione na szeroki obszar zagrożeń. © 2012 IBM Corporation
  5. 5. IBM Security SystemsGdzie chronić?5 IBM Confidential © 2012 IBM Corporation
  6. 6. IBM Security SystemsSAP – Gdzie chronić? © 2012 IBM Corporation
  7. 7. IBM Security SystemsOchrona przed wyciekiem  Wyciek poprzez zapytanie  Wyciek poprzez dostęp do plików  Wyciek poprzez dostęp do archiwów  Wyciek ze środowisk preprodukcyjnych © 2012 IBM Corporation
  8. 8. IBM Security SystemsJak atakować?8 IBM Confidential © 2012 IBM Corporation
  9. 9. IBM Security SystemsSAP – Jak atakować? © 2012 IBM Corporation
  10. 10. IBM Security SystemsJak chronić?10 IBM Confidential © 2012 IBM Corporation
  11. 11. IBM Security Systems GRC: Identity & Access Management for SAP Provisioning/Deprovisiong: Quickly setup and/or recertify SAP user account access. 1 1 Quickly locate and manage invalid SAP user accounts. Accounts – One Security Enforcement point Authoritative TIM Trusted Identity Source – Leveraging SAP Idm Tools (Human Resources, Identity 2 2 jcd0895 – SAP certified solutions Customer Master, etc.) Store jdoe03 e.g. SAP HCM/HR Sarah_s4 Business Productivity: Increase user productivity 4 4 nbody Applications through convenient yet secure single John C. Doe sign-on support Recertification Request 3 3 – End-to-end SAP IAM solution Sarah’s Manager ackerh05 – Central Security Policy maintenance Cisco incl. SAP 5 5 Sarah K. Smith doej Secure Access – One enterprise single sign on Revalidated and smiths17 ACS Audited Access and Audit: Control access to SAP consistently – Provides role based access control to all SAP applications – Enables SAP user auditing – Enables SAP user logging Shared Account Management for SAP Privileged Identity Management for SAP ITIM Approval Workflow SAP ERP SAP HR Hire © 2012 IBM Corporation and User Provisioning Account
  12. 12. IBM Security Systems DATA Big DataEnvironments InfoSphere BigInsights © 2012 IBM Corporation 12
  13. 13. IBM Security SystemsInfoSphere Guardium – personalizacja dostępu w puli połączeń  Problem: Serwer aplikacyjny używa kont generycznych Joe Marc – brak personalizacji  Rozwiązanie: Śledzenie dostępu na poziomie aplikacji – Jednoznaczna identyfikacja a nie oparta o znaczniki czasu – Gotowa integracja z systemami - Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos, itd.) – Integracja z serwerami aplikacyjnymi WebLogic, WebSphere, Oracle AS – API do integracji z aplikacjami App User – Pełna integracja z WAF F5 ASM Application Database Server Server © 2012 IBM Corporation 13
  14. 14. IBM Security Systems W SAP - umówienie spotkania przez BOLLINGER14 © 2012 IBM Corporation
  15. 15. IBM Security Systems15 © 2012 IBM Corporation
  16. 16. IBM Security SystemsW SAP – zaproszenie wysłane przez DDIC16 © 2012 IBM Corporation
  17. 17. IBM Security Systems17 © 2012 IBM Corporation
  18. 18. IBM Security SystemsInfoSphere Guardium – IPS aplikacyjny Serwery aplikacji Uprzywilejowani SQL użytkownicy Oracle, DB2, MySQL, Sybase, itd. Zapytanie SQL S-GATE Hold SQL Połączenie rozłączone Sprawdzenie Naruszenie polityki: zgodności zerwanie połączenia z polityką Przerwanie sesji © 2012 IBM Corporation 18
  19. 19. IBM Security Systems InfoSphere Guardium – redakcja  Niezależne od bazy danych  Redakcja danych wrażliwych  Brak zmian w bazie Application Servers SQL  Brak zmian w aplikacji Oracle, DB2, Unauthorized MySQL, Users Sybase, etc. Issue SQL S-TAP Dane przechowywane wOutsourced DBA bazie Redakcja Wrażliwych danych Widok użytkownika na dane w bazie © 2012 IBM Corporation 19
  20. 20. IBM Security SystemsIBM InfoSphere Guardium Encryption Expert Requirements  Protect sensitive Ensure compliance with Ensure compliance and protect enterprise information and enterprise data with encryption avoid production data data encryption breaches Database  Minimize impact toEncryption Expert applications  Limit privileged user access to sensitive data John Smith *&^$ !@#)( Benefits 401 Main Street Apt 2076 Encrypt ~|” +_)? $%~:>> Austin, TX 78745-4548 %^$#%&, >< <>?_)-^%~~  Comply with government and industry regulations *&^$ !@#)( John Smith (for eg. PCI-DSS) Decrypt ~|” +_)? $%~:>> 401 Main Street Apt 2076 %^$#%&, >< <>?_)-^%~~ Austin, TX 78745-4548  Reduce internal and external risk and threat exposure Personal identifiable information is encrypted  Proactively enforce making it meaningless separation of duties without a proper key. © 2012 IBM Corporation
  21. 21. IBM Security SystemsIBM Optim Data Privacy Solution for SAP® Software  What is Optim Data Privacy Solution for SAP software? – A pre-packaged solution for the SAP HR (HCM) module for SAP releases ERP 6.0 and 4.6C on Oracle and DB2 – Offers contextual, application-aware, persistent masking techniques to protect confidential data with predefined templates for masking the sensitive fields in SAP system  The Optim Data Privacy Solution for SAP currently focuses on three high-level functional areas within SAP HCM module • Personal Administration – SAP HCM PA • Recruitment - SAP HCM PB • Personal Planning and Development – SAP HCM PD  Optim will include support for other SAP modules like FI-CO, CRM, SCM, SRM and other key functional areas as we move ahead Context-aware, prepackaged data masking routines, making itApplication-aware masking capabilities, ensuring masked data is easy to de-identify elements such as credit card numbers & emailrealistic but fictional addresses Data is masked with contextually correct data toData is masked with realistic but fictional information preserve integrity of test data © 2012 IBM Corporation
  22. 22. IBM Security SystemsIBM InfoSphere Optim Test Data Management Solution Requirements Create “right-size” • Create referentially intact, production-like environments “right-sized” test databases for application testing • Automate test result Test Data comparisons to identify Management hidden errors • Protect confidential data -Subset used in test, training & -Mask development -Compare -Refresh • Shorten iterative testing 2TB cycles and accelerate time to market Production or 25 GB Benefits Production Clone 25 GB Development • Deploy new functionality Unit Test more quickly and with improved quality 50 GB • Easily refresh & maintain 100 GB test environments Training • Protect sensitive Integration Test information from misuse & InfoSphere Optim TDM supports data on distributed platforms (LUW) and z/OS. fraud with data masking Out-of-the-box subset support for packaged applications ERP/CRM solutions as well as : • Accelerate delivery of test data through refresh22 Other © 2012 IBM Corporation
  23. 23. IBM Security Systems Applications - Vulnerability Scanning for SAPSAP Source Code scanning and Dynamic SAP Enterprise IntegrationAnalysis AppScan Source and CodeProfiler for SAP ABAP applications • Static Application Security Testing solution (source code Ensure the security and compliance of SAP scanning) for various languages including Java and SAP applications: SAP source code scanning for application ABAP vulnerabilities • Enforce automates code analysis for security defects, Lower total cost-of-ownership: standards and service level agreements (SLAs) Vulnerabilities can be corrected early in the product • Regains control of ABAP code development cycle and before becoming security risks Integration Features – CodeProfiler provides advanced analysis of SAP ABAP White source Box • Quick scanning without complex setup Virtual Forge White CodeProfiler Box • Detailed technical descriptions of vulnerability root causes Black AppScan • Explains how vulnerabilities introduce risk and potential Box ABAP results Source impact AppScan Standard • Guidance to accelerate the correction process – Static (white box) analysis of client-side issues, such as DOM- based cross site scripting and code injection to secure SAP Black Box and non-SAP web portals/applications and SOA middleware AppScan AppScan – Automated dynamic (black box) testing of web vulnerabilities Enterprise Enterprise Server and web services, Web 2.0, Rich Internet Applications Dynamic (JavaScript, Ajax, and Adobe Flash) Analysis Scanner – Secures SAP and non-SAP web portals/applications and SOA middleware © 2012 IBM Corporation
  24. 24. IBM Security SystemsIBM Security Information and Event Management for SAP EnterpriseApplications SAP Environment Support (Layers to Secure and Audit)  Presentation – Host protection products and identification products to ensure the system logged on is not under control of malware. QRadar  Network SAP Integration – Network transaction (flow) data, router logs, predictive risk  Applications – SAP Auditing, Host Auditing  Host – Operating System underlying each each server in the – VMware vSphere for security virtual systems/data  Databases – Broad support of all popular database products – Database activity monitoring (DAM) products. © 2012 IBM Corporation
  25. 25. IBM Security SystemsSAP on System z Security - Best Practice SolutionsCommon Criteria EAL 5 certificationDB2 trusted context with SAP enhancing authenticationDB2 database roles with SAP enhancing authorization and auditingEncrypting certain SAP tables in DB2 with strong encryptionDS8000 full disk encryption for DB2 and SAP strong encryptionTS1120 tape drive encryption for DB2 and SAP strong encryptionDRDA data stream encryption for SAP app server  DB2 data traffic © 2012 IBM Corporation
  26. 26. IBM Security Systems Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered,destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or productshould be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY. ibm.com/security © Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damagesarising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of theapplicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced inthese materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services aretrademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, © 2012 IBM Corporation or service names may be trademarks or service marks of others.

×