Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

Transkript

1 Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

2 Angriffswege zu Ihren SAP-Systemen" Partner! Kunden! non-! SAP! SAP! SAP! SAP! Mitarbeiter! Lieferanten! SAP Security-Check! nonsap! SAP! Juli 2016! 2!

3 SAP Security: Typische Schwachstellen" Entwicklungsprozess! Vorgaben (Coding Guidelines, Härtungsregeln, etc.)! Infrastruktur (BS, DB etc.)! "Falsche" Berechtigungen! Custom Code! Code-Schwachstellen! Angriffe über Infrastruktur! Applikation! (Standard)! SAP Basis! fehlende Patches! SAP Security-Check! Juli 2016! 3!

4 SAP Security: Beispiele für Angriffsvektoren (1/2)" Ø Angriffe über die Infrastruktur Beispiele: " SAP Anwendungsserver: per RFC und Router! Supplier Relationship Management-Systeme: über Lieferantenverbindungen! Interne Angriffe hinter der Firewall: über eigene IT-Systeme! Angriffe auf: Datenbanken, Benutzerkennungen und Passwörter! Ø Falsche Berechtigungen Beispiele:" Aufruf von Programmen oder Transaktionen durch fachlich unzulässige Benutzer! Betrugsorientiertes Erschleichen höherer Berechtigungen! Doppelfunktionalität (z.b. Einkäufer, Wareneingang buchen, Rechnung)!! 4!

5 SAP Security: Beispiele für Angriffsvektoren (2/2)" Ø Angriffe auf der Programmebene (Custom Code) Beispiele:" Directory Traversal! SQL Injection! SAP-Trojaner! Ausführung kritischer Betriebssystem-Kommandos! Zugriffe auf Datenbanken (z.b. über ORA DB User)!! Ø Fehlende Patches Beispiele:" Fehlende Patches auf Systemebene! Fehlende Patches auf (Standard-) Code-Ebene! Schwachstellen und Schiefstände in den SAP-Versionen durch Patchen ohne Gesamtkonzept und Kontrolle! Wichtig: Die von SAP publizierten Security Notes sind öffentlich dokumentierte Sicherheitsschwachstellen!!! SAP Security-Check! Juli 2016! 5!

6 Unser Angebot: Security-Check Ihrer SAP-Systeme" Reifegradbewertung (inkl. Detailerläuterungen)! Maßnahmenempfehlungen" Hinweise zur" Mitigation" "... "..."..." 6!

7 SAP Security-Check: Werkzeuge und Methoden" Ø zur Überprüfung der Systemkonfiguration:" - Einsatz des Pen Test Werkzeugs Werth Auditor (Werth IT GmbH)! - beinhaltet initialen Scan der Infrastruktur Ihres SAP-Systems zur Bedrohungsanalyse! - nach Absprache: Analyse auch mit anderen Werkzeugen möglich! Ø zur Überprüfung von Rollen und Rechten:" - Governance, Risk and Compliance Check unter Einsatz des Werth Auditor! - Überprüfung nach Standard-Lücken in der Rechtevergabe! - Untersuchung der Rollen und Rechte auf bekannte Segregation of Duties-Probleme!! Ø zur Überprüfung des Custom Code:" - Durchführung eines initialen Scans Ihres ABAP-Entwicklungssystems mithilfe der Code Vulnerability Analysis, einem Add-on der SAP NetWeaver AS-Software! - kommentierte Aufbereitung der Scan-Ergebnisse! Ø zur Überprüfung der Entwicklungsprozesse, Security Guidelines & Patches:" - Durchführen strukturierter Interviews mit von Ihnen benannten Mitarbeitern! - Sichten zugehöriger Unterlagen! 7!

8 SAP Security-Check: Vorgehen" Vorbereitung &! Initialisierung! System & Code Scanning! Bewertung Entwicklungsprozess & Patching! Auswertung & Abschlussworkshop! Kick-off-Workshop! Terminabstimmung! Klärung d. Installationsvoraussetzungen für die Scan-Werkzeuge! Anfordern notwendiger Unterlagen und anschließende Analyse! Installation der Scan- Werkzeuge! Durchführung der Scans! Durchführen manueller Prüfungen! Klärung offener Fragen! Auswertung der Ergebnisse (inkl. Maßnahmenempfehlungen)! Vorabstudium von Entwicklungsunterlagen wie beispielsweise Coding Guidelines! strukturierte Interviews! Auswertung der Ergebnisse (inkl. Maßnahmenempfehlungen)! Erstellung der Ergebnisdokumentation! je nach Wunsch: Englisch oder Deutsch! Besprechung der Ergebnisse im Abschlussworkshop! 8!

9 SAP Security-Check: Unsere Expertise Ihr Vorteil" Ø Dr. Stefan Junginger" - seit 1995 in der IT-Branche tätig! - Mitglied der Geschäftsführung der DYNACON GmbH! - über 20 Projekte im Bereich Information Security! - Lehrbeauftragter an mehreren Hochschulen für IT- Management und Informationssicherheit! Ø Holger Stumm:" - seit 1986 in der SAP-/IT-Security-Branche tätig! - Gründer und Geschäftsführer von log(2), einem auf SAP- Sicherheit spezialisierten Beratungsunternehmen! - Co-Autor des Nachschlagewerks "SAP-Systeme schützen" (2016)! 9!

10 Projektdaten: Zeitrahmen, Projektstandort und Honorar" Projektlaufzeit" Die kalkulierte Projektlaufzeit beträgt bis zu sechs Wochen. " Projektstandort & Honorar " Das Projekt bieten wir zu einem Festpreis von ,- pro SAP-System zzgl. der gesetzlichen Mehrwertsteuer an. " " Der genannte Honorarsatz beinhaltet die Reisekosten für den genannten Projektstandort des Kunden. Sofern die Leistungen an anderen Standorten erbracht werden sollen, werden die Reisekosten separat nach Aufwand in Rechnung gestellt. Dabei werden selbstverständlich die Reisekostenstandards der Kunden beachtet.! Bindefrist" Dieses Angebot gilt bis zum 30. September 2016." SAP Security-Check! Juli 2016! 10!

11 Ansprechpartner" Dr. Stefan Junginger Senior Management Consultant enior Consultant Tel: Mobil: DYNACON GmbH Perfallstraße München Holger Stumm log(2) ohg Memelstrasse Groß Zimmern mobil: / Tel: / Fax: / holger.stumm@log2.de 11!