Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

How SAP make secure SAP

93 views

Published on

В рамках секции: Эволюция SOC — 2017: план развития

Published in: Technology
  • Be the first to comment

  • Be the first to like this

How SAP make secure SAP

  1. 1. PUBLIC May, 2017 Alexey Shabanov Arkady Prokudin How SAP secure SAP Мониторинг ландшафта ERP
  2. 2. 2PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP a global company – … Our focus area … IT Security for …
  3. 3. 3PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ *) Not all Cloud Solutions are available in all Data Center; for the availability of Cloud Solutions please compare the official availability matrix SAP Cloud Secure data center overview * US Germany Japan Australia (Brasil) China Canada Russia Netherlands Singapore operational planned SAP is a Cloud Company. SAP Cloud Secure Data Centers – Data Center on level III or IV – SAP Data Centers around the world 14 countries, 30 locations, 40 DCs – Benefit from local regulations (e.g. strong German & EU regulations) – Low latency speeds-up access – Customer can choose ▫ Region of data storage ▫ EU-only operations available ▫ preferred datacenter partner
  4. 4. 4PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ
  5. 5. 5PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP Global Security – Secure operations Where we come from … Global IT Security, Compliance Process & Privacy Approach
  6. 6. 6PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Management System of standards and best practices* *) The Management systems are used across all SAP Cloud Secure services, execution of independent certification and audit depend on service and organizational unit respectively. Details available at: http://go.sap.com/corporate/de/company/innovation-quality/excellence.html **) Component of the Integrated Information Security Management System (IISMS) of SAP ***) Shall come into effect in May 2018 Code of Practice ISO 27002 Foundation Data Protection BS 10012 ISO 27018 Data Privacy EU Directive 95/46/EC BDSG, GDPR*** Privacy Security Best Practice (extract) Service Delivery ISO 20000 Business Continuity ISO 22300 Application Security ISO 27034 OWASP Hardening Guidelines SANs, ISO CERT, NIST Quality Management ISO 9000 ISO25010 Destruction of Media ISO 27040 Incident Management ISO 27035 Certification ISO 27001** ISO 22301**, ISO 9001** BS10012 Operations and Compliance SOC 2, SOC 3 (AT 101 / ISAE 3000) Financial Controls SOC 1 (SSAE16 / ISAE 3402) Transparency
  7. 7. 7PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Противодействие • Разработка безопасного программного обеспечения (SDLC) • Управление функциями безопасности • Управление тестированием • Обучение персонала Детектирование • Мониторинг угроз продуктового ландшафта • Управление отклонениями безопасности • Управление угрозами и уязвимостями • SOC – центр мониторинга безопасности Реагирование • Политика управления инцидентами • Политика управления экстренным доступом • Управление ответными мерами Операционная безопасность Подход SAP в безопасной операционной деятельности Международные практики сертификации и аттестации Взаимодействие в индустриях Безопасность поставщиков и партнёров
  8. 8. 8PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Карта операционной безопасности
  9. 9. 9PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Что хранится в SAP-системах? Финансы HR Интеллектуальная собственность Стратегия CRM/SRM Логистика Документы Финансовая отчётность компании группы компаний Бюджетные документы Финансовые операции с клиентами Финансовые операции с поставщиками Информация о позиции Информация о заработной плате Информация об опыте Рекрутинг и прочие персональные данные Планы развития продуктов Маркетинговые планы Проекты прототипов и концептов Утвержденная стратегия компании Стратегические KPI Стратегия продаж Стратегия выхода на новые рынки Стратегия по развитию Данные клиентов Данные поставщиков Состояние сделок Потенциал будущих сделок с клиентами и поставщиками Данные по транспорту и товарам Расположение товара на складах Маршруты передвижения товара Договора Описание товара Вложенные документы
  10. 10. 10PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Финансы Закупки Кадры Мониторинг защищённости SAP-ландшафта Security Operation Center (SOC) Enterprise Threat Detection Route Profitability Warehouse management Controlling Treasury Consolidation + IFSR Finance&Accounting Leasing Order to cash Core HR & Payroll Financial close IT Performance Management (KNOA) Budgeting SAP
  11. 11. 11PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Пример сценария Назначение SAP_ALL и следующие действия Получение SAP_ALL Log on Debug and divert money  Повышение привилегий пользователя.  Кто-то из пользователей подключается через свою учетную запись, запускает debug финансовой отчетности и меняет данные.  После меняет полномочия обратно.  Автоматическое детектирование атаки с помощью паттернов будет уведомлять SOC : – Users – Terminals – Key events – Values that were altered
  12. 12. 12PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Какие атаки бывают на SAP • Access to Critical Resource • Authorization Critical Assignment • Brute Force Attack • Configuration • Cross Communication • CSRF • Data Manipulation • Debugging • Denial of Service • Failed Logon • Health Checks • Information Disclosure • Security Notes and Messages • SPNego • Standard Users • Suspicious Logon • User Maintenance • User Types
  13. 13. 13PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Southern California Edison Индустрия: Энергетика (electricity supply company ) Страна: США Решения: Access Control, Process Control, Risk Management, SAP Regulation Management by Greenlight Полученные преимущества: • Достигли внушительного снижения издержек путем автоматизации около 200 контролей • Снижено количество дуплицированных данных путем интеграции изменений требований безопасности и управления рисками в нескольких системах контролей • Достигнута быстрая скорость реагирования на требования безопасности • Бизнес-процессы выстроены в соответствии с требованиями безопасности
  14. 14. Спасибо Прокудин Аркадий (SAP CIS) Arkady.Prokudin@sap.com Mob. +7(903) 224-59-50 Tel. +7(495) 755-98-00 Шабанов Алексей (SAP CIS) Alexey.Shabanov@sap.com Tel. +7(495) 755-98-00

×