Продукты

Инвестируйте в безопасность для защиты своих инвестиций

Ядро каждой крупной компании — это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием.

Вся информация, хранящаяся в ERP-системах, имеет важнейшее значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса — вот почему мы предлагаем автоматизированную систему для оценки защищенности компонентов SAP.

Система мониторинга безопасности SAP — инновационный продукт для комплексной оценки защищенности и соответствия стандартам для платформы SAP. Система позволяет провести комплексную оценку защищенности, просканировав серверы SAP на наличие программных уязвимостей, ошибок конфигурации, конфликтов полномочий, и провести оценку на соответствие актуальным стандартам и рекомендациям, включая рекомендации SAP.

Быстро разворачиваемая и интегрируемая в любую сеть система мониторинга безопасности система позволяет за 5 минут проверить базовые настройки безопасности SAP.

В то же время это решение корпоративного уровня с множеством тонких настроек и поддержкой многопользовательской работы. В нем можно создавать индивидуальные профили сканирований для разных систем, группировать системы по любым категориям, например по типу системы или территориальному месторасположению, и назначать расписание сканирований, что позволит централизованно управлять безопасностью SAP систем.

Функциональные возможности текущей версии

Модуль «Аудит»

Анализ конфигурации SAP

  • аутентификация
  • контроль доступа
  • шифрование
  • мониторинг и системный аудит
  • прочие небезопасные настройки

Поиск уязвимостей

  • проверки последних версий компонентов
  • поиск публично известных уязвимостей
  • проверка эффективности средства защиты (IDS, WAF, Proxy)

Модуль «Оценка безопасности исходного кода»

  • поиск программных закладок (бэкдоров), критичных вызовов, устаревших выражений
  • поиск уязвимостей нулевого дня в коде ABAP и JAVA

Модуль «Segregation of Duties»

  • анализ критичных привилегий
  • анализ конфликтов полномочий
  • оптимизация ролей

Соответствие стандартам

  • соответствие рекомендациям SAP
  • соответствие процедурам аудита ISACA
  • соответствие стандартам DSAG и EAS-SEC

Оценка рисков

  • подсчет рисков на основе экспертной оценки критичности и вероятности реализации
  • возможность принять риск, сославшись на документальное подтверждение контрмер

Результаты работы ПО

Сводные данные

Помимо детального описания каждой проверки и уязвимости, в системе выводятся сводные метрики в виде таблиц и графиков по различным категориям, включая, но не ограничиваясь следующими:

  • информация по статусам выполненных проверок по системе
  • информация по рискам выполненных неуспешно проверок
  • статус установленных обновлений по компонентам
  • статистика по количеству существующих публичных уязвимостей и обнаруженных в системе
  • информация по соответствию различным стандартам
  • количество пользователей с различными критичными полномочиями

Отчетная документация

Результаты работы системы можно анализировать как в режиме онлайн через систему, так и в режиме оффлайн при помощи генерации отчетов о сканировании. В результате работы сканера пользователь может получить полную информацию более чем о 10000 различных проверок. Для каждой проверки выдается следующая информация:

  • результат выполнения
  • подробный результат выполнения (в некоторых проверках)
  • статус выполнения
  • риск
  • подробное описание проверки
  • подробное описание угрозы
  • подробное описание контрмер
  • ссылки на соответствующие источники дополнительной информации.

Система позволяет генерировать отчеты с возможностью настройки таких параметров, как:

  • вывод уязвимостей в зависимости от уровня риска (например, исключение успешных проверок или вывод проверок только с уровнем риска «Критичный»)
  • категоризация проверок по статусу, уровню риска или категории
  • cтепень детализации отчета (генерация отчета для руководства или для технических специалистов).