ERРскан Security Monitoring Suite

Ядро каждой крупной компании — это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. 

Вся информация, хранящаяся в ERP-системах, имеет важнейшее значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса — вот почему мы предлагаем автоматизированную систему для оценки защищенности компонентов SAP.

Критические обновления безопасности SAP


Инвестируйте в безопасность для защиты своих инвестиций

SAP-security_rus.jpg

Система мониторинга безопасности SAP ERРскан — инновационный продукт для комплексной оценки защищенности и соответствия стандартам для платформы SAP. ERРскан позволяет провести комплексную оценку защищенности, просканировав серверы SAP на наличие программных уязвимостей, ошибок конфигурации, конфликтов полномочий, и провести оценку на соответствие актуальным стандартам и рекомендациям, включая рекомендации SAP.

Быстро разворачиваемая и интегрируемая в любую сеть система мониторинга безопасности SAP ERРскан позволяет за 5 минут проверить базовые настройки безопасности SAP.

В то же время это решение корпоративного уровня с множеством тонких настроек и поддержкой многопользовательской работы. В нем можно создавать индивидуальные профили сканирований для разных систем, группировать системы по любым категориям, например по типу системы или территориальному месторасположению, и назначать расписание сканирований, что позволит централизованно управлять безопасностью SAP систем.

Система мониторинга безопасности SAP ERРскан хорошо известна на Западе, протестирована инженерами SAP Product Security Response Team и имеет статус SAP Certified – Integration with SAP Applications.

Функциональные возможности текущей версии

Модуль «Аудит»

Анализ конфигурации SAP

  • Аутентификация;
  • Контроль доступа;
  • Шифрование;
  • Мониторинг и системный аудит;
  • Прочие небезопасные настройки.

Поиск уязвимостей

  • Проверки последних версий компонентов;
  • Поиск публично известных уязвимостей;
  • Проверка эффективности средства защиты (IDS, WAF, Proxy).

Модуль «Оценка безопасности исходного кода»

  • Поиск программных закладок (бэкдоров), критичных вызовов, устаревших выражений;
  • Поиск уязвимостей нулевого дня в коде ABAP и JAVA.
  • Тесты производительности.

Модуль «Segregation of Duties»

  • Анализ критичных привилегий;
  • Анализ конфликтов полномочий;
  • Оптимизация ролей.

Соответствие стандартам

  • Соответствие рекомендациям SAP;
  • Соответствие процедурам аудита ISACA;
  • Соответствие стандартам DSAG и EAS-SEC.

Оценка рисков

  • Подсчет рисков на основе экспертной оценки критичности и вероятности реализации;
  • Возможность принять риск, сославшись на документальное подтверждение контрмер.

Результаты работы ПО

Сводные данные

Помимо детального описания каждой проверки и уязвимости, в системе выводятся сводные метрики в виде таблиц и графиков по различным категориям, включая, но не ограничиваясь следующими:

  • Информация по статусам выполненных проверок по системе;
  • Информация по рискам выполненных неуспешно проверок;
  • Статус установленных обновлений по компонентам;
  • Статистика по количеству существующих публичных уязвимостей и обнаруженных в системе;
  • Информация по соответствию различным стандартам;
  • Количество пользователей с различными критичными полномочиями. 

Отчетная документация

Результаты работы системы можно анализировать как в режиме онлайн через систему, так и в режиме оффлайн при помощи генерации отчетов о сканировании. В результате работы сканера пользователь может получить полную информацию более чем о 10000 различных проверок. Для каждой проверки выдается следующая информация:

  • Результат выполнения;
  • Подробный результат выполнения (в некоторых проверках);
  • Статус выполнения;
  • Риск;
  • Подробное описание проверки;
  • Подробное описание угрозы;
  • Подробное описание контрмер;
  • Ссылки на соответствующие источники дополнительной информации.

Система позволяет генерировать отчеты с возможностью настройки таких параметров, как:

  • Вывод уязвимостей в зависимости от уровня риска (например, исключение успешных проверок или вывод проверок только с уровнем риска «Высокий»);
  • Категоризация проверок по статусу, уровню риска или категории;
  • Степень детализации отчета (генерация отчета для руководства или для технических специалистов). 

Мы уделяем особое внимание желаниям наших заказчиков и потенциальных покупателей и постоянно улучшаем наш продукт. Если вы считаете, что наш сканер не имеет какого-то необходимого функционала, то вы можете написать или позвонить нам, и мы постараемся учесть ваши пожелания в следующих релизах или ежемесячных обновлениях. 

Руководство по установке и эксплуатации

Техническая документация по продукту доступна по запросу.

Оставить заявку