SAP Security-Check

Ein Angebot von
DYNACON & LOG2"
Security-Check Ihrer SAP-Systeme"
DR. STEFAN JUNGINGER & HOLGER STUMM!
München, Juli 2016!
Angriffswege
zu Ihren SAP-Systemen"
Partner!
Kunden!
non-!
SAP!
SAP!
SAP!
SAP!
Mitarbeiter!
Lieferanten!
SAP Security-Check!
nonSAP!
SAP!
Juli 2016!
2!
SAP Security:
Typische Schwachstellen"
Entwicklungsprozess!
Vorgaben (Coding Guidelines, Härtungsregeln, etc.)!
Infrastruktur (BS, DB etc.)!
"Falsche" Berechtigungen!
Custom Code!
Code-Schwachstellen!
Applikation!
(Standard)!
fehlende Patches!
Angriffe über Infrastruktur!
SAP Security-Check!
SAP Basis!
Juli 2016!
3!
SAP Security:
Beispiele für Angriffsvektoren (1/2)"
Ø  Angriffe über die Infrastruktur – Beispiele: "
§  SAP Anwendungsserver: per RFC und Router!
§  Supplier Relationship Management-Systeme: über Lieferantenverbindungen!
§  Interne Angriffe hinter der Firewall: über eigene IT-Systeme!
§  Angriffe auf: Datenbanken, Benutzerkennungen und Passwörter!
Ø  Falsche Berechtigungen – Beispiele:"
§  Aufruf von Programmen oder Transaktionen durch fachlich unzulässige Benutzer!
§  Betrugsorientiertes Erschleichen höherer Berechtigungen!
§  Doppelfunktionalität (z.B. Einkäufer, Wareneingang buchen, Rechnung) !
!
SAP Security-Check!
Juli 2016!
4!
SAP Security:
Beispiele für Angriffsvektoren (2/2)"
Ø  Angriffe auf der Programmebene (Custom Code) – Beispiele:"
§  Directory Traversal!
§  SQL Injection!
§  SAP-Trojaner!
§  Ausführung kritischer Betriebssystem-Kommandos!
§  Zugriffe auf Datenbanken (z.B. über ORA DB User) !
!
Ø  Fehlende Patches – Beispiele:"
§  Fehlende Patches auf Systemebene!
§  Fehlende Patches auf (Standard-) Code-Ebene !
§  Schwachstellen und Schiefstände in den SAP-Versionen durch Patchen
ohne Gesamtkonzept und Kontrolle!
§  Wichtig: Die von SAP publizierten Security Notes sind öffentlich
dokumentierte Sicherheitsschwachstellen!!
!
SAP Security-Check!
Juli 2016!
5!
Unser Angebot:
Security-Check Ihrer SAP-Systeme"
Reifegradbewertung
(inkl. Detailerläuterungen)!
Maßnahmenempfehlungen"
Hinweise zur"
Mitigation"
"
..."
. . ."
. . ."
SAP Security-Check!
Juli 2016!
6!
SAP Security-Check:
Werkzeuge und Methoden"
Ø  zur Überprüfung der Systemkonfiguration:"
-  Einsatz des Pen Test Werkzeugs „Werth Auditor“ (Werth IT GmbH)!
-  beinhaltet initialen Scan der Infrastruktur Ihres SAP-Systems zur Bedrohungsanalyse!
-  nach Absprache: Analyse auch mit anderen Werkzeugen möglich !
Ø  zur Überprüfung von Rollen und Rechten:"
-  Governance, Risk and Compliance Check unter Einsatz des „Werth Auditor“ !
-  Überprüfung nach Standard-Lücken in der Rechtevergabe!
-  Untersuchung der Rollen und Rechte auf bekannte Segregation of Duties-Probleme!
!
Ø  zur Überprüfung des Custom Code:"
-  Durchführung eines initialen Scans Ihres ABAP-Entwicklungssystems mithilfe der
„Code Vulnerability Analysis“, einem Add-on der SAP NetWeaver AS-Software!
-  kommentierte Aufbereitung der Scan-Ergebnisse !
Ø  zur Überprüfung der Entwicklungsprozesse, Security Guidelines & Patches:"
-  Durchführen strukturierter Interviews mit von Ihnen benannten Mitarbeitern!
-  Sichten zugehöriger Unterlagen!
SAP Security-Check!
Juli 2016!
7!
SAP Security-Check: Vorgehen"
Vorbereitung &!
Initialisierung!
•  Kick-off-Workshop!
•  Terminabstimmung!
•  Klärung d. Installationsvoraussetzungen für die
Scan-Werkzeuge!
•  Anfordern notwendiger
Unterlagen und
anschließende Analyse !
SAP Security-Check!
System & Code
Scanning!
•  Installation der ScanWerkzeuge!
•  Durchführung der
Scans!
•  Durchführen manueller
Prüfungen!
•  Klärung offener Fragen!
•  Auswertung der
Ergebnisse (inkl. Maßnahmenempfehlungen)!
Bewertung
Entwicklungsprozess
& Patching!
Auswertung & Abschlussworkshop!
•  Vorabstudium von
Entwicklungsunterlagen
wie beispielsweise
Coding Guidelines!
•  Erstellung der Ergebnisdokumentation!
•  strukturierte Interviews!
•  Besprechung der Ergebnisse im
Abschlussworkshop!
•  Auswertung der
Ergebnisse (inkl. Maßnahmenempfehlungen)!
•  je nach Wunsch: Englisch oder Deutsch!
Juli 2016!
8!
SAP Security-Check: Unsere Expertise – Ihr Vorteil"
Ø  Dr. Stefan Junginger"
-  seit 1995 in der IT-Branche tätig!
-  Mitglied der Geschäftsführung der DYNACON GmbH!
-  über 20 Projekte im Bereich Information Security!
-  Lehrbeauftragter an mehreren Hochschulen für ITManagement und Informationssicherheit!
Ø  Holger Stumm:"
-  seit 1986 in der SAP-/IT-Security-Branche tätig!
-  Gründer und Geschäftsführer von log(2), einem auf SAPSicherheit spezialisierten Beratungsunternehmen!
-  Co-Autor des Nachschlagewerks "SAP-Systeme schützen"
(2016)!
SAP Security-Check!
Juli 2016!
9!
Projektdaten:
Zeitrahmen, Projektstandort und Honorar"
Projektlaufzeit"
Projektstandort &
Honorar"
Bindefrist"
SAP Security-Check!
Die kalkulierte Projektlaufzeit beträgt bis zu sechs Wochen. "
Das Projekt bieten wir zu einem Festpreis von 20.000,- € pro SAP-System zzgl.
der gesetzlichen Mehrwertsteuer an. "
"
Der genannte Honorarsatz beinhaltet die Reisekosten für den genannten Projektstandort
des Kunden. Sofern die Leistungen an anderen Standorten erbracht werden sollen, werden
die Reisekosten separat nach Aufwand in Rechnung gestellt. Dabei werden selbstverständlich die Reisekostenstandards der Kunden beachtet. !
Dieses Angebot gilt bis zum 30. September 2016."
Juli 2016!
10!
Ansprechpartner"
Dr. Stefan Junginger
Holger Stumm Senior Management Consultant enior
Consultant
Tel:
+49 89 90172050
Mobil: +49 173 4275429
[email protected]
DYNACON GmbH
Perfallstraße 1
81675 München
www.dynacon.de
SAP Security-Check!
log(2) oHG
Memelstrasse 5
64846 Groß Zimmern
mobil: 49 - 172 / 653 0312
Tel: +49 6071 / 496 47 – 23
Fax: +49 6071 / 496 47 – 24
[email protected]
www.log2.de!
Juli 2016!
11!