Date post: | 05-Jul-2015 |
Category: |
Technology |
Upload: | ibsolution-gmbh |
View: | 180 times |
Download: | 4 times |
SAP-Systeme unter Kontrolle: weniger Aufwand,
mehr Sicherheit Softwaregestützte Validierung und automatisierte Optimierung der Sicherheit sind unabdingbar!
Dr. Markus Schumacher & Patrick Boch
© 2014, Virtual Forge GmbH. Alle Rechte vorbehalten.
Virtual Forge:
Wer wir sind
Üb er Virtual Forge
Experten für SAP Sicherheit und Qualität 5
2001 Gegründet als Beratungshaus
2007 Strategische Ausrichtung als Produktanbieter
2008 Release des Produkts “CodeProfiler”
2013 Release des Produkts “SystemProfiler”
Patentierte Daten- und Kontrollflussanalyse für ABAP™
Gartner
Aufnahme in “Magic Quadrant for Application Security Testing”, 2013
Virtual Forge als “Leading Vendor for ABAP™ Security“
“Cool Vendor in the SAP Ecosytem”, 2011
Products for SAP Security, Compliance and Quality. Worldwide.
SAP als Angriffsziel
SAP als Angriffsziel?
Mehr als 248,500 Unternehmen nutzen SAP
SAP Kunden …
… befördern Menschen > 1.1 Millionen Passagiere pro Tag
… stellen Konsumgüter her > 65% aller Fernsehgeräte
… sorgen für unsere Mobilität > 77,000 Autos pro Tag
… unterhalten uns > 52% aller Filme
… und
72% der weltweiten Bierproduktion hängt von SAP ab
Direct UIs
External
Systems
SAP ABAP™ System
SAP als Angriffsziel
1997 – die guten alten Zeiten 9
SAP als Angriffsziel
2002 – mehr Komplexität 10
Direct UIs
External
Systems
Indirect UIs SAP ABAP™ System
SAP als Angriffsziel
2007 – und mehr … 11
Direct UIs
Indirect UIs
External
Systems
SAP ABAP™ System
SAP als Angriffsziel
Seit 2011 – und mehr … 12
Indirect UIs
External
Systems
Direct UIs
SAP ABAP™ System
Fakten und Zahlen
14
*Onlin
e S
yste
me i
nklu
siv
SA
P S
yste
me
Gra
fik:
Thünem
ann/S
chin
zel
Fakten und Zahlen
Auswertung Internet Zensus
Mein SAP-System
ist sicher! Sicher?
Manche Dienste sind per Default
aktiv*
15
Zahlen und Fakten
Hacker‘s best friend: Suchmaschinen
SAP Systeme sind oft über das Internet
erreichbar
Dienste können missbräuchlich genutzt werden
Unberechtigter Zugang möglich
Zitate aus den offiziellen SAP
Security Guides
Zu wenig, zu langsam!
Hackers kennen die
gepatchen Sicherheits-
lücken
16
Zahlen und Fakten
SAP verbessert die Sicherheit kontinuierlich
Sicherheitslücken im Standard
werden korrigiert
SAP Security Patch Day
Schnelle Umsetzung der Patches
ist sehr wichtig!
CodeProfiler
ABAPTM-Qualitäts-Benchmark 17
Durchschnittliche Anzahl von Findings pro Scan
Total Findings Critical Findings
50 % Wahrscheinlichkeit einer kritischen ABAP Command Injection
100 % Wahrscheinlichkeit fehlender und falscher Berechtigungsprüfungen
88 % Wahrscheinlichkeit eines kritischen Directory Traversals
Anonymisierte Analyse von 171 Kundensystemen / Ø 2,20 Mio. Lines of Code pro Scan (Stand: Mai 2014)
Gesamtmenge der gescannten Kundeneigenen Programmzeilen 377 Mio.
~ 1 kritische
Sicherheitslücke
pro 1.000 Zeilen
ABAP™-Code
Security 5.924 1970
Compliance 1.669 309
Performance 16.457 2687
Maintainability 14.632 1409
Robustness 15.423 5272
DLP 8 3
Top 5: Sicherheitslücken und Hintertüren
Die häufigsten Arten von Sicherheit / Compliance-Themen in
eigenen Programmen.
Type of vulnerability Wahrscheinlichkeit * Vorkommen **
Authorization Flaw 100 % 1,097
Directory Traversal 89 % 313
Direct Database Modification 83 % 39
Cross-Client Access 80 % 117
Open SQL Injection 67 % 16
* Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird.
** Vorkommen spiegeln die absolute Zahl der kritischen Fehler pro System im Durchschnitt wieder.
Top 5: Performance Killer
Top 5 häufigsten Arten von Performance-Problemen in
kundeneigenen Programmen.
Type of vulnerability Effect Probability * Occurrences **
Inefficient memory operation AS 100 % 2,110
Nested loop AS 99 % 542
Inefficient usage of DB Index DB 98 % 1,695
WAIT command (5+ seconds) AS 90 % 47
DB Buffer bypass DB 80 % 1,483
* Effekt zeigt, welche Systeme am stärksten betroffen sind: Application Server (AS) oder Datenbank (DB).
** Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird.
*** Vorkommen spiegeln die absolute Zahl der kritischer Fehler pro System im Durchschnitt wieder.
Top 10: kritische Konfigurationsfehler
Auswahl typischer Probleme
Category Selected results of critical findings
Standard Users SAP Standard Users with Trivial Passwords
Deactivation of the automic login user SAP*
Existence, Lock and authorizations of the SAP* standard user
User Management Number of records in user tables with password
hash values in field BCODE
Password Policy Maximum period for which an initial password
remains valid if it is not used
Authorizations *Several Violations, as some Users have SAP_ALL*
Communications
Security RFC access control - reginfo & secinfo
Active critical ICF services
Web AS Security Send login ticket only via HTTPS
Business Continuity Check on fully qualified RFC connections
21
Fakten und Zahlen
Fazit
Sicherheitsprobleme gibt es faktisch schon immer,
allerdings waren die SAP Systeme früher stärker
abgeschottet
Heute werden immer mehr SAP Systeme vernetzt und via
Cloud, Webservice, Mobile, etc. extern verfügbar gemacht
SAP Know-How von (Wirtschafts-)Spionen und Hackern
wächst kontinuierlich
Die Komplexität nimmt ständig zu … und damit die
Anforderungen an Sicherheit und Qualität
Live Hacking
https://www.youtube.com/channel/UCxr8P5rNL32IQVnUYrdkZhQ
Lösungswege für
SAP Sicherheit &
Qualität
Cyber-Angriffe, Spionage, Systemausfälle:
Unternehmensrisiken durch kundenspezifische Anpassungen.
Risiken bei SAP-Sicherheit, -Compliance und -Qualität
SAP-Anwendungen
• Autorisierung
• Transport
Management
• Patches
• Business Continuity
• Anwendungs-
Performance
SAP-Konfiguration
• Autorisierung
• SAP Operating
& Database System
• Web-Sicherheit
• Kommunikations-
Kanäle
• Logging / Forensik
SAP-Coding
• Bewertung
• Entwicklung
• Architektur
• Code-Qualität
• Tests
• Anwendung
… kann zu Unternehmensrisiken führen:
Cyber-Angriffe ⌀ 7,2 Mio. USD Kosten pro Fall
Spionage 5% Umsatzverlust p.a. pro typisches Unternehmen
Systemausfälle ⌀ 14 Std. p.a. pro Fall und Unternehmen
Quelle: Cost of Cyber Crime Study (Poneomon Institute, 2013), Global Fraud Study (ACFE, 2014),
The Avoidable Cost of Downtime (CA Technologies, 2010)
Jede individuelle Anpassung …
Veränderung der
Konfiguration
Custom Coding
Erweiterte Funktion
des SAP-Standards
Wir reduzieren Unternehmensrisiken und schützen
Ihre gesamte SAP-Landschaft.
Lösungen für SAP-Sicherheit, -Compliance und -Qualität
Individuelle
Systemeinstellung
• Veränderung der
Konfiguration
Custom Coding
• Anpassung oder
Erweiterung des
SAP-Systems
… führt zu:
Sicherheit vor unerlaubtem Zugang und anderen Störungen
Anpassung an Compliance und weitere Anforderungen
Performance Boost für Ihr gesamtes SAP-System
Weniger Probleme, weniger Kosten!
Fehler finden und korrigieren …
Virtual Forge SAP-Audit
per Mausklick
Automatische
Minimierung von
Unternehmensrisiken
Validierung und
Optimierung der
Systemsicherheit
SYSTEMPROFILER
Mehrere hundert Seiten Sicherheitsrichtlinien – geprüft in wenigen Minuten
Zentrale Konfiguration und Überwachung komplexer Landschaften
Prüfbericht jederzeit – auf Knopfdruck
Wir decken die SAP-Risikofelder Sicherheit, Compliance und Qualität
vollständig ab.
Unsere Erfahrung zeigt:
Custom
configuration
SystemProfiler erkennt und korrigiert Fehler in SAP-
Systemkonfigurationen und vermeidet eine Wiederholung
95% der SAP-Systeme sind anfällig
für Angriffe und die Anzahl der mit
dem Internet verbunden SAP-
Systeme nimmt zu.
Das bedeutet für Sie:
Ein Angreifer kann vollen
Zugriff auf alle Geschäftsdaten
erhalten, wenn nur eine dieser
Schwachstellen enthalten ist.
Das bedeutet für Sie:
Manuelle Konfiguration führt zu hohen
Betriebskosten. Wenn nur eine
wichtige Einstellung übersehen wird,
führt dies zu schweren Sicherheits-
oder Qualitätsproblemen.
Mit dynamischen Systemen
mitzuhalten ist umständlich und die
Konfiguration eine ständige
Herausforderung
Sicherheits- und Compliance-Risiken: signifikant reduziert
Schutz vor Cyber-Angriffen, Spionage und Systemausfällen
Abdeckung vieler Sicherheitsstandards und -richtlinien
Minimaler Aufwand: bis zu 90 % Aufwandseinsparungen
Reduziert operativen Aufwand durch zentralisierte Architektur
Kontinuierliche Überwachung der gesamten Systemlandschaft
Umfassendes Reporting für vollständige Transparenz gegenüber Management, Revision und Wirtschaftsprüfern
Reduzierte Komplexität: einfach gesamte SAP-Systemlandschaften verwalten
Flexible Konfigurationsrichtlinien
Voll skalierbar, auch für große Systemlandschaften
Proaktiver Ansatz und automatisierte Korrekturen
Außergewöhnlich hoher Performancegewinn gegenüber Standard-Tools
Umfassender Schutz: vollständig gesicherte Systemkonfigurationen
Integriertes Fachwissen gewährleistet umfassende Abdeckung aller sicherheitsrelevanten Einstellungen
Über 250 vordefinierte und –konfigurierte Prüfungen
Das bedeutet für Sie ...
SystemProfiler in a nut shell.
Konsistente Validierung
Vollständige Transparenz
Volle Skalierbarkeit
Effektive Einsparungen
Umfassende Prüfungsinhalte werden mitgeliefert, basierend auf etablierten Standards, anpassbare und erweiterbare
Zentrale Architektur, kontinuierliche Validierung und umfassende Berichterstattung
Flexible Definition von Konfigurationsrichtlinien für die gesamte Systemlandschaft
Proaktiver Ansatz inklusive wirksamer, automatischer Korrekturen
Zusätzliche Plattformunterstützung: Prüfungen für SAP NetWeaver JAVA
SAP Zertifizierung
Prüfung von betriebssystemspezifischen Einstellungen
Neue Testfälle: insgesamt über 250 Prüfungen für SAP Sicherheit und
Qualität
Verbesserte Performance: extreme Geschwindigkeitssteigerung besonders
bei großen Systemlandschaften
Erweiterter Finding Manager mit vielen zusätzlichen Funktionalitäten
Verbesserte Verwaltung von Richtlinien sowie von Positiv- und Negativlisten
Erweiterung des Frameworks für zusätzliche Szenarien
SystemProfiler: neu in Version 2.0
Der 3-Phasen-Prozess
Unsere Lösungsansatz folgt einem einfachen Prinzip:
Assess – Safeguard – Optimize.
Assess:
Wir evaluieren den Status Ihres Systems
mittels einer initialen Risikobewertung.
Safeguard:
Wir schützen SAP-Landschaften durch
Risikoidentifikation, automatische Korrektur
und Implementierung von präventiven
Maßnahmen.
Optimize:
Wir räumen SAP-Landschaften auf und
befreien sie von schädlichen Altlasten.
Security, Compliance
& Quality
1. Assess
2. Safeguard 3. Optimize
Wir verbessern Schritt für Schritt den Zustand
Ihres gesamten SAP-Systems.
Der Engagement-Prozess
Schritt Zeit Was wir für Sie tun Was Sie davon haben
1 Risiko-
bewertung 1. Tag
• Scan des Custom Coding und der
Konfigurationseinstellungen eines SAP-Systems
• Identifikation und Priorisierung von Risiken
Volle Transparenz:
• Management Summary mit ausgewählten Findings
• Wissen, was zu tun ist
2 Launch-
Projekt
Productive
Pilot
(3 Monate)
• Identifizierung aller Fehler und automatische Korrektur
zweier Fehlertypen als Konzeptbeweis
• Manuelle Korrektur der 5 Hauptrisiken (Time & Material)
• Unbegrenzte Nutzung der Software für Projektdauer
• Roll-Out-Konzept für mehrere SAP-Systeme
Scoping zur Durchführung:
• Verständnis der Auswirkungen
• Roadmap für den Roll-Out
• Bewertungsmetriken für ROI/TCO-Kalkulation
• Optimiertes SAP-System
3a Inhouse-
Operation Fortlaufend
• Erweiterung zu einer Lizenzvereinbarung
• Roll-Out für weitere SAP-Systeme
Durchführung:
• Proaktive Sicherheit & Qualität
• Sicheres Coding und sichere
Systeme
• Geschulte Mitarbeiter 3b
Managed
Operation Fortlaufend
• Erweiterung zu einer Managed-Service-Vereinbarung
• Roll-Out für weitere SAP-Systeme
Wir gewährleisten höchste Sicherheits-, Compliance- und
Qualitätsstandards für SAP-Systeme führender Unternehmen.
Erfolgsgeschichten
[ „CodeProfiler lässt sich einfach in alle Entwicklungsprozesse integrieren (...) und minimiert
das Risiko für schadhaften Code. Seit wir das Tool einsetzen, sind die Entwickler achtsamer
geworden und liefern bessere Qualität.“ ] Stephan Sachs, Manager Applikationssicherheit, Linde
[ „Eine Kernanforderung des Projekts war es, jede Woche mehrere Milliarden Zeilen Code zu
scannen (...) Gemeinsam mit Virtual Forge ist CIT CA damit in diesem Segment eine wirklich
einzigartige Lösung gelungen.“ ] Michael Brauer, Leiter Corporate Automation, Corporate IT, Siemens
[ „Durch den Einsatz des Virtual Forge CodeProfiler und die enge Zusammenarbeit mit Virtual
Forge konnten wir die Sicherheit im Unternehmen verbessern und gleichzeitig die Qualität
unserer Anwendungen steigern.” ] Ralph Salomon, Vice President IT Security & Risk Office, SAP
Auf Basis umfangreicher Erfahrungen bieten wir hocheffiziente,
automatisierte Produkte nach unabhängigem Standard.
Expertise
& Erfahrung
• Wir sind die Experten im
Bereich SAP-Sicherheit
• Track Record seit 2006:
>170 Kunden, >1.400
Kundenprojekte, >2.000
Produktinstallationen
• 50% Mitarbeiter im
Bereich Research &
Development
Effizienz
• 2011 erhielten wir von
Gartner die Auszeichnung
„Cool Vendor in the SAP
ecosystem“
• 2014 wurden wir erneut
in den Gartner Magic
Quadrant for Application
Security Testing (AST)
berufen
Effektivität
• Hochautomatisierte
Lösungen per Mausklick
zur Risikoidentifizierung
und Fehlerkorrektur
• Aufwandsreduktion
für Risikoidentifizierung
um bis zu 95%,
für Fehlerkorrektur
um bis zu 70%
(im Vergleich zu
manueller Prüfung)
Unabhängigkeit
• Aktives Mitglied der
DSAG and ASUG
Chapters und
unterstützend bei der
Erstellung von Best-
Practice-Dokumentationen
• Kooperation mit SAP-
Kunden und Auditoren
weltweit zur Etablierung
eines Ecosystems und
unabhängigen SAP-
Standards
Ein lohnendes
Investment
SAP Konfigurationssicherheit und - qualität
Positiver Effekt bezüglich Korrekturkosten 41
Sicherheit und
Qualität der Systemkonfiguration
Zeit
Wenige,
isolierte
Systeme
Komplexe Systemlandschaft,
externe Anwendungen
Configuration Drift
SAP Sicherheit und Qualität
Positiver Effekt bezüglich Korrekturkosten 42
Fehler
Zeit
Start der ‚Stay clean‘ Initiative ‚Clean-up’ Phase
Start der Anpassungen Start der ‚Get clean‘ Initiative
‚Get clean‘ Phase
ROI Beispiel: SystemProfiler Aufwand für 10 Systeme
43
Manueller Aufwand
für Prüfung auf Sicherheit und Qualität: 246 Manntage
für die Korrektur gefundener Schwachstellen: 26 Manntage
Gesamtkosten: 136.000 €
Aufwand mit SystemProfiler
für Prüfung auf Sicherheit und Qualität: 7 Manntage
für die Korrektur gefundener Schwachstellen: 4 Manntage
Ersparnis, inkl. Lizenz: >60%
Haben Sie Fragen oder Anmerkungen?
Danke für Ihre Aufmerksamkeit 44
Dr. Markus Schumacher
Blog Whitepapers Twitter