Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Обеспечение безопасности  расширений в корпоративных    информационных системахКак обстоят дела у «них» и у «нас»Андрей Пе...
Цель и метод•   Cравнить степень осознания задачи по защите бизнес    приложений у “нас” и у “них” (на примере SAP и 1C)• ...
Making things clear• business software vs idleness software
High-level view on BS                  Наполнение платформы                               Программы на DSLПлатформа для ав...
Ключевая особенность BS•   Подходы к обеспечению безопасности BS и                                                        ...
Уязвимости в РИС•   Уязвимость может быть в любом компоненте РИС•   Уязвимость может быть привнесена в РИС на любом этапе ...
Ничего не напоминает?
Стандартные компоненты•   Реализация принципа ограниченности ущерба•   Patch management•   Best practices по внедрению, ко...
Собственные компоненты• Угрозы    ✓   программные закладки    ✓   уязвимости (прежде всего Input Validation)•   Важные фак...
Программные закладки•   Методически    ✓   без спецификации - теоретически неразрешимая задача    ✓   варианты хоть какого...
Уязвимости в custom-коде •   Методически     ✓   определение зависимости аргументов критичных функций от         пользоват...
Выводы•   У “них”: осознание проблемы уже находится на уровне    необходимости защиты собственных расширений•   У “нас”: о...
Спасибо за внимание•   Email: andrew.petukhov@internalsecurity.ru•   WWW: http://internalsecurity.ru/•   Web log: http://a...
Upcoming SlideShare
Loading in …5
×

Обеспечение безопасности расширений в корпоративных информационных системах

4,925 views

Published on

Одни из самых распространенных платформ для корпоративных информационных систем в России - SAP и 1C Предприятие. В обеих основную ценность представляют так называемые расширения, обеспечивающие клиентам требуемую функциональность: для SAP – это модули на языке ABAP, для 1С Предприятия – конфигурации, для создания которых используется встроенный язык программирования. С точки зрения информационной безопасности ситуация неутешительна: к задаче обнаружения закладок в custom-коде расширений в последние годы добавилось выявление классических веб-уязвимостей из OWASP Top10. В докладе будет рассмотрена оценка защищенности расширений корпоративных информационных систем, а также подходы к решению этой задачи в отношении платформы SAPв зарубежных странах, и в отношении платформы 1С – в России.

Published in: Technology
  • Be the first to comment

Обеспечение безопасности расширений в корпоративных информационных системах

  1. 1. Обеспечение безопасности расширений в корпоративных информационных системахКак обстоят дела у «них» и у «нас»Андрей Петухов
  2. 2. Цель и метод• Cравнить степень осознания задачи по защите бизнес приложений у “нас” и у “них” (на примере SAP и 1C)• Метод: ✓ определим, что же такое бизнес-приложения ✓ опишем высокоуровневую структуру бизнес-приложений и определим характерные черты бизнес-приложений (BS) ✓ используем структуру для постановки задачи комплексной защиты ✓ разделим задачи по защите на типичные и специфичные именно для BS ✓ рассмотрим подходы к решению специфичных задач ✓ сделаем выводы и поставим диагноз
  3. 3. Making things clear• business software vs idleness software
  4. 4. High-level view on BS Наполнение платформы Программы на DSLПлатформа для автоматизации и контроля БПСистема поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектура
  5. 5. Ключевая особенность BS• Подходы к обеспечению безопасности BS и Система Unreal Idleness Unreal Idleness будут различаться. Почему?• Ключевой особенностью BS является Программы на DSL ✓ огромная ценность обрабатываемой информации Unreal Script ✓ критичность в свете обеспечения непрерывности и эффективности бизнес процессов Среда выполнения программ на DSL• Последствия реализации одних и тех же Unreal Engine угроз для обычных РИС и для бизнес- Инфраструктура для работы РИС приложений различаются кардинально Многозвенная слабо связанная архитектура• Неактуальные задачи для обычного ПО становятся актуальными для BS• Затраты на Application Security vs Infrastructure Security
  6. 6. Уязвимости в РИС• Уязвимость может быть в любом компоненте РИС• Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла ее компонента• Компоненты РИС бывают стандартными, сторонними и собственными• Чем выше в схеме компонент РИС, тем меньше его распространенность• Вероятность обнаружения уязвимости и ее Impact Factor зависит от распространенности компонента• Для распространенных компонентов формируется своя экосистема по обеспечению их безопасности• Из-за их природы, к программам на DSL не применимы существующие средства статического анализа, фреймворки для тестирования и пр.• Для собственных компонентов требования к безопаности должны предъявляться на этапе разработки, по результатам моделирования угроз
  7. 7. Ничего не напоминает?
  8. 8. Стандартные компоненты• Реализация принципа ограниченности ущерба• Patch management• Best practices по внедрению, конфигурации, эксплуатации и аудиту• Системы мониторинга и обнаружения вторжений• Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???) Платформа для автоматизации и контроля БП Система поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектура
  9. 9. Собственные компоненты• Угрозы ✓ программные закладки ✓ уязвимости (прежде всего Input Validation)• Важные факторы ✓ тенденция к интеграции с веб-технологиями и выходу в Интернет ✓ отсутствие требований к безопасности собственного ПО ✓ ограниченность инструментария для анализа программ на DSL Наполнение платформы Программы на DSL
  10. 10. Программные закладки• Методически ✓ без спецификации - теоретически неразрешимая задача ✓ варианты хоть какого-то решения: code review, сигнатурный статический анализ, динамический анализ с подсчетом покрытия• Практически ✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от Fortify; предложения по code review ✓ 1С Предприятие - ???
  11. 11. Уязвимости в custom-коде • Методически ✓ определение зависимости аргументов критичных функций от пользовательского ввода при отсутствии его обработки ✓ варианты решения: code review, статический taint-анализ, динамический taint-анализ, black-box тестирование по словарю атак ✓ словари атак black-box сканеров должны быть расширены специализированными векторами атак • Практически ✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от Fortify; предложения по code review; отчасти black-box сканеры ✓ 1С Предприятие - отчасти black-box сканеры
  12. 12. Выводы• У “них”: осознание проблемы уже находится на уровне необходимости защиты собственных расширений• У “нас”: осознание проблемы находится на уровне необходимости защиты платформы• Диагноз: владельцы инсталляций 1С Предприятия практически беззащитны перед технически грамотными инсайдерами, имеющими доступ к конфигурациям 1С
  13. 13. Спасибо за внимание• Email: andrew.petukhov@internalsecurity.ru• WWW: http://internalsecurity.ru/• Web log: http://andrepetukhov.wordpress.com/• Tel: +7 (495) 774-90-48

×