SAP Penetrationstest So kommen Sie Hackern zuvor!
TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unseren Schwester-gesellschaften OpenSky und 2MC zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 2
Referent Security Analyst Penetrationstests SAP-Penetrationstests Otto von Natzmer Security Engineering 3
Agenda 1 2 3 4 Der SAP-Penetrationstest auf einen Blick Phase 1: Simulation einer ausgedehnten Analysephase durch Angreifer Phase 2: Simulation der Angriffsphase durch Ausnutzung der in der Analysephase erhaltenen Informationen Nach dem Test: detaillierter Bericht 5 Abschlussgespräch 4
Der SAP-Penetrationstest auf einen Blick WAS WIR MACHEN Die Sicherheitsexperten von TÜV Rheinland analysieren die Zielsysteme nach Schwachstellen durch: Unsichere Architektur, Software, Segmentierung, Firewalls Unsichere Konfiguration Unsicheren Code TÜV RHEINLAND: SAP PENTEST-TEAM WIE WIR ES MACHEN Manuelle Analyse durch automatisierte Tools: Authentifizierte Scans Manuelle Tests ABAP Code Review DIE ERGEBNISSE Das Abschlussgespräch: Kritische Risiken Quick Wins Detaillierter Report: Detaillierte und bewertete Risiken Empfehlungen Die Präsentation hat das Ziel: Transparenz zu schaffen Awareness zu erhöhen 4 Senior-Pentester, davon 2 ehemalige ABAP Entwickler 2 Junior-Pentester 5
SAP-Penetrationstest: Simulation einer Cyberattacke MADE IN GERMANY SCHAFFT VERTRAUEN Maximale Sicherheit Ihrer Daten bei vollständiger Abdeckung der Analyse unter Einhaltung des Bundesdatenschutzgesetzes (BDSG). INTEGRITÄT UND VERFÜGBARKEIT IHRER DATEN Penetrationstests werden ausschließlich gegen nichtproduktive Systeme durchgeführt der Betrieb Ihrer produktiven Systeme wird nicht beeinträchtigt. GANZHEITLICHKEIT Werden andere ausnutzbare Schwachstellen Ihrer IT während des Tests auf unterstützenden System entdeckt, werden auch diese dokumentiert und berichtet. TRANSPARENTE ERGEBNISSE Der SAP-Penetrationstest zeigt den aktuellen Zustand Ihrer SAP-Systeme auf und bildet eine Grundlage, um Ihre SAP-Security mit Ihrem Risikomanagement zu vereinen. Gleichzeitig werden Empfehlungen ausgesprochen, um Ihre relevanten Sicherheitslücken zu schließen. 6
SAP-Penetrationstest: Simulation einer Cyberattacke Wie einfach können Ihre Anwendungen manipuliert werden? Hält Ihr SAP-System Angriffen stand? Ein SAP-Penetrationstest ist der einzige Weg, um reale Risiken, wirksam zu identifizieren Sicherheitslücken entdecken: vor Wirtschaftsspionage schützen Bei einem Penetrationstest betrachten wir Ihre SAP-Infrastruktur aus der Sicht eines Hackers. Dabei simulieren wir eine realistische Cyber- Attacke und spüren Sicherheitslücken in Ihrer IT auf, bevor Angreifer sie ausnutzen können 7
SAP-Penetrationstest: Analysephase Phase 1 Simulation einer ausgedehnten Analysephase durch Angreifer Die Angreifer bewegen sich oft über Monate/Jahre im Netzwerk und sammeln Informationen über ihre Zielsysteme Bei einem SAP-Penetrationstest werden authentifizierte Scans der Betriebssysteme und SAP-Systeme benutzt, um diese Phase auf wenige Stunden zu reduzieren 8
SAP-Penetrationstest: Analysephase Phase 1 Simulation einer ausgedehnten Analysephase durch Angreifer 9
SAP-Penetrationstest: Angriffsphase Phase 2 Simulation der Angriffsphase durch Ausnutzung der in der Analysephase erhaltenen Informationen Die Penetrationstester nutzen die detaillierten Informationen, um mit minimale bis gar keine Berechtigungen innerhalb des Netzwerkes die SAP Systeme zu übernehmen Letzendliches Ziel ist es vollzugriff auf allen SAP-Systemen zu haben. 10
Transparente Ergebnisse: Detaillierter Bericht Deliverables 1 Ein detaillierter Bericht mit Kritischen Gefährdungen durch Berechtigungen Kommunikationsschnittstellen Custom-ABAP-Code SAP-Softwarefehler Fehlkonfigurationen Proofs of Concept für die Ausnutzbarkeit der kritischen Gefährdungen 11
Abschlussgespräch. Quick-Wins Deliverables 2 Abschlussgespräch Erläuterung der kritischen Schwachstellen Empfehlungen von Quick-Wins 3 Präsentation Detaillierte Beschreibung des Vorgehens und Findings Einfache Sprache zur Steigerung der Transparenz Steigerung der Awareness beim Management für das Thema SAP-Security 12
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter www.tuv.com/informationssicherheit 13
Kontakt. Otto von Natzmer Security Analyst TÜV Rheinland i-sec GmbH Zeppelinstraße 1 85399 Hallbergmoos Tel. +49 221 56783 853 email: Otto.vonNatzmer@i-sec.tuv.com otto.vonnatzmer@i-sec.tuv.com Otto.vonNatzmer@i-ec.tuv.com www.tuv.com/sap-pentest