Qualitätssicherung in SAP HCM Eigenentwicklungen

Transkript

1 TITEL bearbeiten Thomas Kastner (Managing Director, Virtual Forge) Dr. Markus Schumacher Qualitätssicherung in SAP HCM Eigenentwicklungen Kundeninformationstag von HCM Experts, 19. Juni 2012, Heidelberg Virtual Forge GmbH All rights reserved.

2 AGENDA TITEL bearbeiten 1. Angriffs-Verteidigungs-Layer Click to edit Master text styles 1: SAP Basis und generelle SAP Einstellungen 2. Angriffs-Verteidigungs-Layer 2: Berechtigungskonzept 3. Angriffs-Verteidigungs-Layer 3: 4. ABAP Code Sicherheit & Compliance 5. Angriffs-Verteidigungs-Layer 4: (Spezielle) Architektur Themen im HR (SAP erec, 360-Feedback, Talent bspw. Success Factors u.a.)

3 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

4 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

5 TITEL Evolution bearbeiten der Angreifer Skriptkiddie geringes eigenes Know-how arbeitet mit Copy & Paste und nutzt vorhandene Anleitungen, Programme, Tools etc. um z.b. in fremde Computersysteme einzudringen oder Schaden anzurichten beliebige Angriffsziele Motivation: i.d.r. Anerkennung

6 TITEL Evolution bearbeiten der Angreifer Professionelle Angreifer hohe Fachkompetenz verfügen über entsprechende Ressourcen (Zeit, Geld etc.) gezielte Angriffe (z.b. Stuxnet, Flame, Anonymous) häufig auch Innentäter Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen

7 TITEL Unternehmen bearbeiten als Ziel von IT-Angriffen Quelle: Best Practice, Das Kundenmagazin von T-Systems, Ausgabe , S. 44.

8 TITEL Angriffsoberfläche bearbeiten von SAP -Systemen Direct UIs SAP GUI BSP Integrated ITS Web Dynpro ABAP SAP ABAP System DB PI ABAP Code Files RFC Web Services JCO Indirect UIs 3rd party Java applications J2EE / Portal Web Dynpro Java Quelle: Wiegenstein, A., Dr. Schumacher, M., Schinzel, S. und Weidemann, F.: Sichere ABAP TM -Programmierung, S. 57. External systems Stand-alone ITS SAP System Non-SAP System

9 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

10 60 Seconds #1 Angriffe über das SAP TITEL bearbeiten - Gateway Szenario Angreifer startet mit einem simplen Skript als SIDADM direkt Kommandos auf einem SAP -Server Manipulation von SAP-Profilen Ausführung von SQL-Kommandos Ursachen Ungeschützte und / oder falsch konfigurierte SAP-Gateways Fehlende Firewalls Risiken Komplette Zerstörung des angegriffenen SAP-Systems Einbau von Hintertüren und Trojanern

11 60 Seconds #2 Binary Payload Angriffe TITEL bearbeiten via PDF Szenario Angreifer nutzt Binary PDF Content um seine SAP Attack Payload zu verteilen Verteilung per Mail, Download im Web, USB etc. Ziel: Lesen oder Änderung der saplogon.ini (für Beispiel #3) Ursachen Adobe PDF erlaubt im Standard das Einbetten von Programmen in PDF-Dokumenten Warnmeldungen werden von Anwendern häufig ignoriert Risiken Manipulation lokaler Dateien (saplogon.ini) RFC-Attacken auf das SAP-Gateway Kompletter Kontrollverlust über das angegriffene SAP-System

12 TITEL 60 Seconds bearbeiten #3 SAP GUI Sniffing Szenario Angreifer tauscht saplogon.ini aus und lässt die Daten der SAP GUI über seinen Proxy laufen Angreifer kann alle Daten im Proxy lesen und ändern (wie z.b. Passwort, Konto) Ursachen SAP GUI Datenstrom ist lediglich gepackt und nicht verschlüsselt wenige SAP-Kunden setzen SNC-Verschlüsselung ein Risiken Auslesen von SAP-Kennwörtern Manipulation von Buchungen Kompletter Kontrollverlust über das angegriffene SAP-System

13 60 Seconds #4 Angriffe über unsicheren TITEL bearbeiten ABAP TM -Code Szenario Entwickler und / oder Angreifer versteckt eine Hintertür in unverdächtigem ABAP- Code (z.b. bei Eigenentwicklungen) Backdoor enthält Editor, Programmaufruf etc. Angreifer ändert Transaktion SU53, so dass bei sy-uname = Angreifer die Ursachen Backdoor aufgerufen wird ABAP ist eine Interpreter-Sprache und kann nicht wirklich gegen Code-Änderungen geschützt werden (Hard Lock) Risiken Datenmanipulation, Datenverlust, Sabotage Kompletter Kontrollverlust über das angegriffene SAP -System

14 TITEL 60 Seconds bearbeiten #5 SQL Injection Szenario Angreifer manipuliert SQL-Abfragen in Reports oder Webanwendungen durch SQL Injection Ursachen Verwendung von Native SQL oder Verwendung dynamischer WHERE-Bedingungen in OPEN SQL Risiken Unberechtigter Zugriff auf Daten im SAP -System

15 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

16 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Technische Maßnahmen SAP Security Patch Day! Änderung aller Standard-Passwörter (SAP, DB, OS) Absicherung von SAP-Gateways und RFCs Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.) Sichere ABAP TM -Programmierung (Vorgaben, Ausbildung, Enforcement) Sichere Transportwege OS und DB Hardening Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung Netzwerkabsicherung, PC-Schutz

17 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Unternehmenskultur Awareness für SAP -Sicherheit schaffen (z.b. durch Workshops) Training (Entscheider, Entwickler, Administratoren, Anwender) Organisation SAP-Sicherheit in relevante Unternehmensprozesse integrieren Schaffung verbindlicher Unternehmensstandards Compliance SAP-Sicherheit zur Vorgabe in Projekten machen Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen) SAP-Sicherheit in den Audit-Plan aufnehmen

18 TITEL Welche bearbeiten Fragen haben Sie? Kontakt: Thomas Kastner Weitere Informationen: Website: Artikel Sicherheitslücken und Hintertüren im ABAP-Code (Link) Artikel Mit Schwachstellen umgehen und sie unter Kontrolle halten (Link) KuppingerCole Product Research Note zum Virtual Forge CodeProfiler (Link) Produktbroschüre Virtual Forge CodeProfiler (Link) SAP-Whitepaper Secure Configuration of SAP NetWeaver AS ABAP Besuchen Sie uns: