Анализ защищенности SAP-систем

Обеспечение защищенности корпоративных систем управления ресурсами предприятия (ERP-систем) является одной из важнейших задач служб информационной безопасности современных компаний. 

Значительная часть корпоративных информационных ресурсов хранится и обрабатывается ERP-системами, от их надежной работы зависит множество бизнес-процессов. Они зачастую становятся основной целью злоумышленника.

Компания SAP – крупнейший мировой производитель ERP-систем. Поэтому мы уделяем особое внимание анализу безопасности продуктов SAP и предлагаем комплексный аудит защищенности SAP-систем в качестве отдельной услуги.

SAP-системы представляют собой сложные программные решения. Один из их недостатков – множество проблем безопасности, требующих тщательного анализа в условиях ограниченного количества информации.

Широко известная проблема пересечения привилегий (матрица SoD) – это далеко не все, на что необходимо обращать внимание в процессе безопасной настройки SAP. Специалисты Digital Security давно сотрудничают c корпорацией SAP в области поиска и анализа уязвимостей, и наш опыт, а также исследования известных западных специалистов показывают, что существует огромное количество способов получения административного доступа в SAP-систему даже в случае идеально настроенной системы привилегий.

Используемая нами методика аудита позволяет оценить защищенность на каждом уровне (сетевом, ОС, СУБД, прикладном, презентационном), максимально полно и глубоко проанализировать возможные уязвимости системы и разработать эффективные рекомендации по повышению ее защищенности.

Проводимые проверки

  • Аудит защищенности на сетевом уровне (SAProuter, RFC-интерфейсы, шифрование); 
  • Аудит защищенности на уровне ОС (уязвимости, стандартные пользователи, права доступа);
  • Аудит защищенности на уровне СУБД в рамках SAP-системы (уязвимости, стандартные пользователи, права доступа); 
  • Аудит защищенности на прикладном уровне SAP (стандартные пароли, парольная политика, уязвимости сервера приложений);
  • Глубокий анализ специфических настроек отдельных компонентов (CRM, SRM, Portal, HR и т. п.);
  • Анализ ABAP-кода на безопасность (отсутствие авторизаций на доступ, уязвимости и программные закладки, производительность и качество кода);
  • Анализ критичных полномочий на соответствие организационной структуре.

Результаты

По итогам работы вы получаете отчет, содержащий:

  • Обнаруженные уязвимости и недостатки конфигурации; 
  • Результаты эксплуатации обнаруженных уязвимостей и соответствующие риски; 
  • Подробные рекомендации по повышению защищенности тестируемой системы с учетом ее особенностей.

Статьи по теме:

Примеры выполненных работ: 

Оставить заявку

Оставить заявку