Безопаность SAP-систем
•Download as PPTX, PDF•
0 likes•138 views
О совместных усилиях по ИБ с компанией SAP
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Безопаность SAP-систем
Similar to Безопаность SAP-систем (20)
More from Alexey Kachalin
More from Alexey Kachalin (20)
Безопаность SAP-систем
- 1. ptsecurity.ru ptsecurity.ru SAP Security «Безопасность АСУ ТП, ERP и сети – российские тренды»
- 2. ptsecurity.ru Компетенции, реализованные в продуктах и сервисах Сервисы Тест на проникновение Анализ защищенности Анализ угроз и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall ptsecurity.ru
- 3. ptsecurity.ru ИБ-фактор цифровизации: Вчера, Сегодня, Завтра Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4 IT OpSec AppSec ОТ
- 5. ptsecurity.ru Тесты на проникновение: реальность угроз ИБ ИТ Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя
- 6. ptsecurity.ru Уровень приложений: пространство реальных угроз ИБ
- 7. ptsecurity.ru THE MAIN PROBLEMS AND SAP SYSTEMS DEFICIENCIES Анализ угроз и возможных последствий
- 8. ptsecurity.ru Путь атакующего: Initial Compromise Establish Foothold Escalate Privileges Internal Recon Move Laterally Complete Mission Maintain Presence Clean up & Exfiltrate Passive Recon (OSINT) Active Recon • Протяженность во времени • Критичность событий безопасности в зависимости от этапа «продвижения» атакующего • «Прекратить безобразия» – не всегда оптимальный путь • Равно как и раскрыть факт обнаружения проникновения $$$
- 9. ptsecurity.ru Границы инцидента: больше чем «событие безопасности» Attackers Hackers Spies Terrorists Corporate Raiders Professional Criminals Vandals Voyeurs Tool Physical Attack Information Exchange User Command Script or Program Autonomous Agent Toolkit Distributed Tool Data Tap Vulnerability Design Implementation Configuration Action Probe Scan Flood Authenticate Bypass Spoof Read Copy Steal Modify Delete Target Account Process Data Component Computer Network Internetwork Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thrill Political Gain Financial Gain Damage Event Attack(s) Incident • Инцидент рассматривается как событие • Анализ целей • Атрибуция атакующего • Расследовать «событие» или инцидент?
- 10. ptsecurity.ruptsecurity.ru Инвентаризация •состав системы – что будут атаковать •чем рискуем, активы? Наблюдаемость и контроль •мониторинг ИБ •контроль штатных активностей (выявление аномалий) Знание об угрозах •ландшафт угроз •новые угрозы •покрытие технологий Специфичность процессов •специфика бизнес процессов, «свой» код •каждая организация уникальна Уязвимости •конфигурации •компонентов 1 2 3 4 5 (Вечно) Актуальные проблемы
- 11. ptsecurity.ruptsecurity.ru Инвентаризация •состав системы – что будут атаковать •чем рискуем, активы? Наблюдаемость и контроль •мониторинг ИБ •контроль штатных активностей (выявление аномалий) Знание об угрозах •ландшафт угроз •новые угрозы •покрытие технологий Специфичность процессов •специфика бизнес процессов, «свой» код •каждая организация уникальна Уязвимости •конфигурации •компонентов 1 2 3 4 5 (Вечно) Актуальные проблемы ДИНАМИКА
- 12. ptsecurity.ru • Утечка данных • Промышленный шпионаж • Потеря контроля над системой • Плацдарм для дальнейших атак • Формирование счетов на оплату • Нарушение бизнес процессов • Отсутствие гарантий взлома • Непрозрачность процессов управления • Потери времени на восстановление • Большие трудозатраты на поддержку ptsecurity.ru Чем это грозит? Нарушение конфиденциальности Проникновение в систему Потеря денег Потеря управления Нарушение работоспособности ! ! ! ! !
- 14. ptsecurity.ru Internet Доступ к внутренней сети Атаки из внешней сети подбор веб-уязвимости уязвимости ПО учетки в открытом виде социальная инженерия выход из песочницы СУБД 1 1 2 5 3 4 6 7 8
- 15. ptsecurity.ru Internet Доступ к внутренней сети Атаки из внешней сети подбор веб-уязвимости уязвимости ПО учетки в открытом виде социальная инженерия выход из песочницы СУБД 1 1 2 5 3 4 6 7 8 100% 91% 73% 45% 27% 80% 91% 100%
- 16. ptsecurity.ru Подбор паролей BlackBox и WhiteBox Атаки на Web Атаки на СУБД Повышение привилегий Перехват паролей Внедрение кода Атаки на тестовую инфраструктуру Атаки на ОС Механика атак SAP
- 17. ptsecurity.ru Типовой сценарий атаки: SAP Сложность реализации атаки: низкая Сложность реализации атаки: средняя Сложность реализации атаки: высокая Вектор атакиуязвимости или недостатки в конфигурации данного ресурса приводят к реализации атаки с индикацией критичности Получен ограниченный доступ к ресурсу (права пользователя) Получен расширенный доступ к ресурсу (права привилегированного пользователя) Получен полный доступ к ресурсу Возможно успешное развитие атаки при дополнительных условиях наличие сетевого трафика между клиентом и сервером для перехвата
- 18. ptsecurity.ru • Используем уязвимость для получения учетной записи к БД SAP • Подключаемся к БД от имени SAP системы • Копируем конфиденциальные данные • Подбираем пароли пользователей SAP • Входим в систему • Повышаем привилегии • Заметаем следы Базовый сценарий
- 19. ptsecurity.ru Обнаруженные уязвимости: •1844202 (June 2013) SUIM| RSUSR002 User '............' is not found •1902611 (November 2013) Potential information disclosure relating to BC-SEC •1997455 (May 2014) Potential information disclosure in BC-SEC-USR-ADM •2191290 (January 2016) Potential information disclosure relating to AS Java Публикации: •SAP Unknown Default Password for TMSADM http://scn.sap.com/people/dmitry.gutsko/blog/2013/02/25/ sap-unknown-default-password-for-tmsadm •SAP's Backdoor http://scn.sap.com/people/dmitry.gutsko/blog/2013/08/08/ saps-backdoor Выступления: •PHD2013 SAP attack methodology •PHD2014 SAP CUA as an SAP Attack Vector Исследования: •Алгоритмы хеширования паролей •Хранение ABAP кода •Анализ Java Secure Storage •Хранение учетных данных в RFC соединениях PT: Исследования безопасности SAP
- 20. ptsecurity.ru 2008 - поддержка сканирования систем на базе SAP AS ABAP 2012 - добавлены новые коннекторы RFC, Oracle 2012 - обнаружение не установленных SAP Security note 2013 - поддержка сканирования систем на базе SAP AS JAVA 2014 - сертификация МП8 в SAP (SAP Certified Integration with SAP NetWeaver) 2014 - поддержка SAP HCM, SAP MM 2014 - Segregation of duties 2015 - поддержка анализа событий безопасности SAP в MaxPatrol SIEM 2015 - поддержка SAP в Application Firewall 2016 - поддержка SAP FICO История сотрудничества PT и SAP
- 21. ptsecurity.ru Персонал ИБ Проблемы безопасности Ландшафт SAP • ~3000 известных уязвимостей • ~20 новых уязвимостей каждый месяц • ~1000 настроек конфигурации • от 500 пользователей в каждой инсталляции • постоянные доработки системы Средняя инсталляция ~30 SAP систем * количество серверов в одном ландшафте (до 10) * количество мандантов (от 4 до 10). Итого: ~ 300 серверов ~ 120-300 мандантов Как правило, 1 – 2 человека Задачи: • Контроль уязвимостей • Контроль прав доступа • Контроль действий пользователей/администраторов • Контроль настроек безопасности • Контроль парольной политики • * анализ ABAP кода 0 200 400 600 800 2009 2010 2011 2012 2013 2014 2015 2016 SAP SECURITY NOTES Масштаб проблемы Персонал ИБ Проблемы безопасности Ландшафт SAP Реально?
- 22. ptsecurity.ru WHAT TO DO? BUILD PROCESS! Что делать? Процесс и технологии
- 23. ptsecurity.ru 1 Pentest Анализ инфраструктуры Аудит безопасности Анализ ролевой модели Анализ ABAP кода Аудит 2 Анализ конфигурации Соответствие стандартам Парольная политика Изменение настроек по умолчанию Разграничение полномочий Регулярная проверка 3 Мониторинг действий пользователей и администраторов Отслеживание изменений и оперативное оповещение Формирование инцидентов 4 Постоянный контроль настроек Контроль изменений и мониторинг Защита Рекомендуемый процесс Расследование инцидентов Защита Web
- 24. ptsecurity.ru Пентест Анализ безопасности инфраструктуры (сеть, ОС, БД в т.ч. HANA) Аудит безопасности и соответствия стандартам прикладной части SAP систем Анализ ролевой модели и проверка на соответствие матрице разграничения полномочий Поиск уязвимостей в ABAP коде Анализ событий ИБ и выявление мошеннических действий Аудит ИБ SAP систем: возможности Positive Technologies
- 25. ptsecurity.ru MaxPatrol SAP Контроль прав доступа SAP Обнаружение уязвимостей: активное сканирование по методам черного и белого ящиков Подбор паролей (все алгоритмы) Анализ настроек шифрования каналов связи Анализ конфигурации и контроль изменений в SAP системе и инфраструктуре Анализ связей с другими SAP системами ptsecurity.ru MaxPatrol 8. Возможности
- 27. ptsecurity.ru SAP Контроль и анализ защищенности Расследование инцидентов Выявление инцидентов Управление рисками и соблюдение нормативных требований Защита от атак на сетевом и прикладном уровнях PT+SAP Security: Эшелонированная защита
- 28. ptsecurity.ru MaxPatrol SIEM Мониторинг действий пользователей Выявление несанкционированных действий Обнаружение атак Мониторинг доступа к критичным данным Обнаружение использования средств автоматизации взлома Обнаружение Подозрительной активности MaxPatrol SIEM. Возможности
- 29. ptsecurity.ru Application Firewall Автоматическое обучение Виртуальный патчинг Интеграция с антивирусами Application Firewall Интеграция с антивирусами Автоматическое обучение Виртуальный патчинг Защита от DDoS атак на уровне приложений ptsecurity.ru Application Firewall для SAP. Возможности
- 30. ptsecurity.ru PT Application Firewall для SAP • Подбор паролей для доступа к UI и SOAP • Популярные методы атак (Invoker Servlet, Verb Tampering) • Утечки данных (например, SecStore.properties и hdbuserstore) • «Белый список» значений параметров (по рекомендациям SAP) • Обнаружение сканеров уязвимостей SAP (например, Bizploit) • “Пассивный сканер”: • использование паролей по умолчанию • открытый доступ к консолям управления
- 31. ptsecurity.ru Тренды развития киберугроз Инциденты в пром.секторе США •295 крупных инцидентов (15% рост) в промышленных компаниях • 46 – энергетика • 97 инцидентов c «участием» поставщиков оборудования и сервисов • В 106 случаях - использовались вредоносы и целевой фишинг • В 12% были затронуты компоненты АСУ ТП •Специфика «кибер» угроз • Тиражируемость • Управляемость по времени • Повторяемость • Взаимозависимость и объединение ИТ и АСУ ТП - ОТ • Новые возможности/мотивация атакующих http://www.darkreading.com/attacks-bre
- 32. ptsecurity.ru Киберугрозы: из ИТ через ОТ в реальность • Нарушение физической безопасности (взлом умных замков) • Нарушение работы предприятия (ложные срабатывания пожарной сигнализации, повторяющиеся) • Утечки информации (съем данных с систем видеонаблюдения) • Фрод (модификация показаний датчиков (весов)) • Локеры устройств SmartThings app that’s meant to check a lock’s battery shouldn’t be able to steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499 SmartThings and found that more than half of them had at least some level of privilege they considered overbroad, and that 68 actually used capabilities they weren’t meant to possess.
- 33. ptsecurity.ru Наш подход: анализ специфики угроз АСУ ТП Protocol analysis (Modbus, S7, Profinet etc) Kiosk mode escape Unauthorized access Firmware download Password cracking Access controllers Command/data sending Pipeline accident Fire protection system SCADA/HMI Pumping Infrastructure DMZ Firmware modification Denial of service Fire protection system enable or disable unauthorized False data on operators’ screens Threat to life Pipeline Idle time Pumping station Fire protection system Workstations DMZ Connection breach Control over DMZ server Damage to Environment Internal Attacker Penetration vectors Target Systems Threats Disposition
- 34. ptsecurity.ru Защита промышленных систем: реализуема, бизнес-эффективна Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
- 35. ptsecurity.ru PT: подход к решению задач безопасности ОТ 39 • Анализ угроз ОТ • Невмешательство в «работу» ОТ • Мониторинг инцидентов и интерпретация событий • Тиражируемость и масштабируемость PT ISIM = «SIEM для АСУ ТП»
- 37. ptsecurity.ru MaxPatrol 8 MaxPatrol SIEM Application Firewall Аудит Контроль действий пользователей и изменений в системе Регулярная проверка Защита SAP (Web) Наше решение ptsecurity.ru
- 38. ptsecurity.ru Управление рисками и соблюдение требований Управление рисками Контроль метрик Соответствие требованиям SAP Risk Management MaxPatrol Reporting Portal MaxPatrol 8
- 39. ptsecurity.ru Контроль и анализ защищенности Приложения Доступ Инфраструктура PT Application Inspector* SAP Access Control MaxPatrol 8
- 40. ptsecurity.ru Защита от атак Приложения Доступ Инфраструктура PT Application Firewall* SAP Identity Management PT Network Attack Discovery**
- 41. ptsecurity.ru Выявление инцидентов Бизнес-процессы Приложения Инфраструктура SAP Fraud Management SAP Enterprise Threat Detection MaxPatrol SIEM
- 42. ptsecurity.ru Расследование инцидентов Прикладной уровень Корреляция событий Сетевой уровень PT Application Firewall* SAP Enterprise Threat Detection PT Network Attack Discovery** MaxPatrol SIEM
- 43. ptsecurity.ru Комплексная защита SAP Защита от атак Выявление инцидентов Расследование инцидентов Контроль защищённости Управление рисками SAP Application Inspector* SAP Application Firewall** SAP Network Attack Discovery*** SAP Access Control SAP Single Sign-On SAP Identity Management SAP Enterprise Threat Detection SAP Fraud Management SAP Risk Management MaxPatrol 8 MaxPatrol Reporting Portal MaxPatrol SIEM
- 45. ptsecurity.ru Путь к Безопасности 1. Наши продукты, наши компетенции https://www.ptsecurity.com 2. Анализ уязвимостей и/или пилот, мониторинг событий ИБ pt@ptsecurity.com 3. Решение актуальных ИБ-задач - Инфраструктура: Maxpatrol & Maxpatrol SIEM - AppSec: PT AF & AI - Индустриальная безопасность: PT ISIM 4. Осведомленность об угрозах и методах атак - PHDays - SecurityLab.ru - PT Research 49
- 46. ptsecurity.ru Positive Research 2017 PHDays 7 – 23-24 мая http://securitylab.ru https://www.ptsecurity.com/ PHDays.com
- 48. ptsecurity.ru ptsecurity.ru Компетенции, реализованные в продуктах и сервисах Сервисы Тест на проникновение Анализ защищенности Анализ угроз и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall
Editor's Notes
- http://www.darkreading.com/attacks-breaches/ransomware-scada-access-as-a-service-emerging-threats-for-ics-operators-report-says/d/d-id/1325952
- Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure: Communication chain Protocol analyzed / dissection. Identification of data in transit. Identification of specific crafted package to send to affect pump functioning, general systems functioning SCADA ecosystem variation Identification of method to download equipment’s firmware and upload a crafted one Kiosk invalidation Identification on how to get access to the kiosk mode Performed unauthorized operation over kiosk operating system Exiting from Kiosk mode Implement network and application attacks Security measures / breaking availability Local and remote ability to authenticate in OT infrastructure Ability to manipulate business and security processes
- https://marketplace.cisco.com/catalog/companies/positive-technologies-cjsc/products/application-firewall-for-cisco-aci https://www.ptsecurity.com/upload/ptru/products/documents/af/PT-AF-Case-Study-CISCO-rus.pdf
- * - PT Application Inspector
- * PT Application Firewall ** PT Network Attack Discovery
- * PT Application Firewall ** PT Network Attack Discovery
- * PT Application Firewall ** PT Application Firewall *** PT Network Attack Discovery