SAP NetWeaver AS, add-on for code vulnerability analysis
Werbung
Informationssicherheit – Denken Sie weiter. Patrick Hildenbrand, Product Management Security, SAP AG April 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne vorherige Ankündigung geändert werden. Dieses Dokument wird ohne jede Gewährleistung seitens SAP bezüglich der Richtigkeit, Vollständigkeit und Nutzung der enthaltenen Information und Angaben zur Verfügung gestellt. Es dient ausschließlich Informationszwecken. SAP übernimmt keine Haftung für Fehler in dem oder für die Vollständigkeit des Dokumentes, insbesondere nicht für die darin enthaltenen Informationen, Grafiken, Links oder andere Angaben und Inhalte. SAP übernimmt keine Haftung für Schäden, weder ausdrücklich noch stillschweigend, die sich aus dem Gebrauch des Dokumentes ergeben können, insbesondere nicht für die Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts, es sei denn, dass Schäden durch Vorsatz oder grobe Fahrlässigkeit seitens SAP verursacht wurden. Hiervon umfasst sind insbesondere direkte, besondere, indirekte Schäden sowie Begleit- und Folgeschäden. © 2014 SAP (Schweiz) AG. All rights reserved. 2 Quellcode die Quelle des Risikos Geschäftsanwendungen haben Geschichte Die heute verwendeten Geschäftsanwendungen sind meist Entstanden über Jahre hinweg Komplex Basierend auf sich ständig verändernden Anforderungen Entwickelt auf Basis unterschiedlicher Entwicklungsrichtlinien Optimiert für eine bestmögliche Performanz Immer wieder erweitert aber nicht neu erfunden und oft wurde Sicherheit erst nachträglich hineinprogrammiert. © 2014 SAP (Schweiz) AG. All rights reserved. 4 Die vier Typen von Sicherheitsuntersuchungen Fehlersuche in der aktiven Anwendung Manuelle AnwendungsPenetrations Tests Automatisierte AnwendungsVerwundbarkeits Scans Fehlersuche im Quellcode Manuelle Quellcode Prüfung Automatisierte Quellcode Analyse DAST SAST SAP NetWeaver Application Server add-on for code vulnerability analysis Sicherheit von Anfang an © 2014 SAP (Schweiz) AG. All rights reserved. 5 SAP NetWeaver AS, add-on for code vulnerability analysis Gründe für den Einsatz Je stärker Anwendungen vernetzt und für mobile Geräte und den Einsatz von Cloud basierten Lösungen nach Außen geöffnet werden, je höher ist das Risiko, das diese Applikationen angegriffen werden. Proaktive Vermeidung von Einbrüchen durch statische Sicherheitsuntersuchungen ist schon heute eine Standardvorgehensweise für die meisten Programmiersprachen und Programmierumgebungen. Diese Vorgehensweise hilft durch die frühzeitige Aufdeckung möglicher Schwachstellen Kosten zu sparen und macht das Risiko einer Anwendung beherrschbarer. Die Hilfsmittel zur Untersuchung des Quellcodes müssen tief in die Entwicklungsumgebung integriert sein, einfach verwendbar und benutzbar sein um von den Entwicklungsteams akzeptiert zu werden. © 2014 SAP (Schweiz) AG. All rights reserved. 6 Sichere Anwendungen machen sich bezahlt! In einer 2013 von den Kaspersky Labs veröffentlichten Studie, berichteten 85% der befragten Unternehmen von IT Sicherheitsvorfällen, überwiegend verursacht durch Schwachstellen in der Software. Source: http://www.firstbiz.com/biztech/software-vulnerabilities-create-internal-data-security-problems-for-39-cos-19237.html Ein Whitepaper des unabhängigen Beratungsunternehmens Mainstay aus dem Jahre 2010 berichtet, daß Programme zum sicheren Programmieren nicht nur die Sicherheit erhöhen, vielmehr resultieren daraus Vorteile von bis zu $37M jährlich für die Unternehmen. Source: http://www.thedatachain.com/materials/mainstay_roi_study_2010.pdf In einer Befragung von Arbeitnehmern des (ISC)² in 2013 wurde von 69% der Befragten Schwachstellen in Anwendungen als eines der größten Risiken bewertet. Source: https://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/2013-ISC2-Global-Information-Security-Workforce-Study.pdf © 2014 SAP (Schweiz) AG. All rights reserved. 7 SAP NetWeaver AS, add-on for code vulnerability analysis Einfache Verwendbarkeit Direkte Integration Start der Prüfungen jederzeit direkt aus der ABAP Entwicklungsumgebungen wie SE80, SE38 und ABAP in Eclipse Flexible Auswahl der Prüfobjekte Direktes und automatische prüfen für einzelne Objekte oder frei definiert Objektgruppen Wenige Falschmeldungen Durch den Einsatz einer Datenflussanalyse ist der Code Analysator in der Lage zu prüfen ob ein potentiell gefährlicher Ausdruck von Außen beeinflusst werden kann. © 2014 SAP (Schweiz) AG. All rights reserved. 9 SAP NetWeaver AS, add-on for code vulnerability analysis Unterstützt den Entwickler Umfangreiche Dokumentation Detaillierte Beschreibung und Hinweise zu jedem Fehler Beschreibung der Gefährdungsart und Konsequenzen Hilfestellung wie die Schwachstelle beseitigt werden kann Hilfestellung für Entwickler Hilfestellung für die beste Stelle zur Korrektur Integrierter Ausnahmeprozess nach dem 4Augen Prinzip © 2014 SAP (Schweiz) AG. All rights reserved. 10 SAP NetWeaver AS, add-on for code vulnerability analysis Prüfungsdetails Großer Bereich der Schwachstellenprüfung • • • • • SQL injection Code injection OS command injection Directory traversal Backdoors Flexible Gewichtung Durch die Möglichkeit, die Priorität der einzelnen Prüfungen zu kontrollieren, kann man das Werkzeug an die Firmeninternen Bedürfnisse optimal anpassen. © 2014 SAP (Schweiz) AG. All rights reserved. 11 Verfügbarkeit und Ausblick SAP NetWeaver AS, add-on for code vulnerability analysis Verfügbarkeit Entwickelt vom Team, das auch die ABAP Sprache entwickelt Tiefe Integration in die Standard ABAP Entwicklungs- und Testwerkzeuge Seit Jahren erfolgreich bei der SAP Standard Software Entwicklung im Einsatz Erfolgreich bei Kunden pilotiert Der Code Vulnerability Analyzer ist verfügbar ab: SAP NetWeaver AS ABAP 7.0 EhP2 Support Package 14 SAP NetWeaver AS ABAP 7.0 EhP3 Support Package 09 SAP NetWeaver AS ABAP 7.3 EhP1 Support Package 09 SAP NetWeaver AS ABAP 7.4 Support Package 05 © 2014 SAP (Schweiz) AG. All rights reserved. 13 SAP NetWeaver AS, add-on for code vulnerability analysis Produktplanung im Überblick Integration and flexibility Integration into development landscape Flexible checks Low false positive ratio Checks & Reporting Reporting capabilities with SAP Solution Manager 7.1 SP12 Support for new ABAP 7.40 language features Flexibility & Performance Usability Context based documentation Direct navigation to dataflow Customer defined sanitizations Public API to access scan results in ATC Optimizations in dataflow engine Configuration Checks Broad range of checks Prioritization of checks Today Improved administration Planned Innovations New Checks Detection of Cross Site Scripting in BSP pages Detection of direct access to sensitive database tables Reporting Improved reporting functions based on solution manager integration Ability to define a security baseline Landscape Tighter integration of old systems into check infrastructure Future Direction (Release 7.40 SP05) This is the current state of planning and may be changed by SAP at any time © 2014 SAP (Schweiz) AG. All rights reserved. 14 Weitere Informationen SAP NetWeaver Application Server, add-on for code vulnerability analysis http://wiki.scn.sap.com/wiki/display/ABAP/SAP+NetWeaver+Application+Server%2C+add-on+for+code+vulnerability+analysis Roadmap Präsentation: https://service.sap.com/~sapidb/011000358700000256742014E.pdf ABAP Test und Analyse Tools http://wiki.sdn.sap.com/wiki/display/ABAP/ABAP+Test+and+Analysis+Tools ABAP Test Cockpit (ATC) http://wiki.sdn.sap.com/wiki/display/ABAP/ABAP+Test+Cockpit SAP Community http://scn.sap.com/community/security http://scn.sap.com/community/abap/testing-and-troubleshooting © 2014 SAP (Schweiz) AG. All rights reserved. 15 Vielen Dank für Ihre Aufmerksamkeit Kontakt: Patrick Hildenbrand SAP NetWeaver Product Management Security [email protected] © 2014 SAP (Schweiz) AG. All rights reserved.
