integracja sap do korporacyjnych wymagań bezpieczeństwa
TRANSCRIPT
IBM Security Systems
Integracja SAP do korporacyjnych wymagań bezpieczeństwa Zbigniew Szmigiero | [email protected] Customer Technical Professional
© 2012 IBM Corporation
© 2012 IBM Corporation
IBM Security Systems
HR CRM
Finanse Logistyka
SAP – Wschodząca gwiazda (już od 40 lat)
SAP - kilka faktów…
Założona w 1972 przez 5 byłych pracowników IBM
Światowy lider rozwiązań biznesowych
Trzeci co do wielkości niezależny producent oprogramowania na świecie
Ponad 197,000 klientów w 120+ krajach, 74% z listy Forbes 500
10 million użytkowników, 30,000 instalacji, 1000 partnerów, 21 rozwiązań dla przedsiębiorstw
Ponad 55 tysięcy pracowników w 130+ krajach
Roczne przychody (IFRS) to 14,23 miliarda €
... Ale także krytyczna dla biznesu infrastruktura
Systemy SAP ERP przechowują i przetwarzają większość krytycznych dla biznesu informacji w organizacji
Konsekwencje naruszeń mają znaczący wpływ na biznes
Operacje finansowe
Kadry
Logistyka
CRM
Jeśli platforma SAP jest podatna na atak może to prowadzić do:
WYCIEKU/SZPIEGOSTWA:
Kradzież danych klientów/dostawców/osobowych, planów finansowych, stanu
kont, informacji o sprzedaży, wartości intelektualnej
SABOTAŻU:
Paraliż organizacji poprzez unieruchomienie systemu SAP, możliwość
komunikacji z innymi systemami lub zniszczenie krytycznych danych ważnych
do podejmowania decyzji.
FRAUDU: Modyfikacja informacji finansowych, fałszowanie danych o
zamówieniach/sprzedaży, modyfikacja danych bankowych, kont
© 2012 IBM Corporation
IBM Security Systems
MIT: Ataki na SAP systemy możliwe tylko z wewnątrz
Dane o systemach SAP są zbierane w sieci
• Informacje z Google, Shodan, skanów Nmap, etc
Rośnie liczba systemów SAP dostępnych przez internet:
Dispatcher, Message server, SapHostcontrol, Web Services,
Solution Manager, etc
Różne komponenty SAP mogą być wyszukiwane w łatwy sposób:
• inurl:/irj/portal (Enterprise Portal)
• inurl:/sap/bc/bsp (SAP Web Application Server)
• inurl:/scripts/wgate (SAP ITS)
• inurl:infoviewapp (SAP Business Objects)
SAP – Nowy cel
SAP Security Notes - By Oct 22, 2012, a total of 2432 notes
Source: https://service.sap-ag.de/securitynotes
0
100
200
300
400
500
600
700
800
900
1000
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Liczba SAP Security Note rok do roku
„Ponad 95% systemów SAP było poddawane analizie
przez hackerów podczas udanych ataków “ (Onapsis, March 2012)
Różnice pomiędzy kosztami a korzyściami w inwestycje
związane z bezpieczeństwem IT
From the study
„The STATE of RISK-
BASED
SECURITY
MANAGEMENT“
by Ponemon
Institute llc, 2012
Liczba SAP Security Notes wzrasta drastycznie w ostatnim
okresie.
• Security Note zazwyczaj adresuje jedną lub więcej podatności
© 2012 IBM Corporation
IBM Security Systems
SAP – Wyzwania w bezpieczeństwie
SAP i obszar bezpieczeństwa
• Aplikacje korporacyjne rozrastają się i są coraz
bardziej złożone
• Integracja z innymi podmiotami lawinowo
zwiększa obszar połączeń aplikacyjnych między
nimi
• Aplikacje i Systemy SAP nie są już tylko
tradycyjnymi aplikacjami biznesowymi
• SAP rozszerza funkcje, platformy, komponenty i
rozwiązania biznesowe wliczając w to: Cloud,
technologie bazodanowe, BAnalytics, etc.
• Rozwiązania SAP coraz częściej są powiązane z
włanością intelektualną i danymi poufnymi
• Systemy SAP stały się pożądanym celem
złośliwych ataków
• Wiele aplikacji SAP było projektowane jako
wsparcie procesów ale stały się publicznie
dostępne
Słabości kodu własnego
• Wiele organizacji wykorzystuje własne aplikacje
ABAP
• Kod własny zazwyczaj oznacza brak
niezależnego testowania
• Programowanie ABAP często jest zlecane
Zgodność, Wiedza ekspercka, Zarządzanie
Cyklem Życia Aplikacji
• Wymagania dla aplikacji związane z regulatorami
• Testowanie pod względem bezpieczeństwa
aplikacji SAP Java (NetWeaver) wymaga wiedzy
eksperckiej
• Ręczne testowanie kodu ABAP jest
czasochłonne i wymaga wiedzy ekperckiej
• Wykrycie podatności na wczesnym etapie jest
kluczowe
To wszystko wskazuje SAP jako środowisko podatne i wystawione na
szeroki obszar zagrożeń.
© 2012 IBM Corporation
IBM Security Systems
Gdzie chronić?
5 IBM Confidential
© 2012 IBM Corporation
IBM Security Systems
SAP – Gdzie chronić?
© 2012 IBM Corporation
IBM Security Systems
Ochrona przed wyciekiem
Wyciek poprzez zapytanie
Wyciek poprzez dostęp do plików
Wyciek poprzez dostęp do archiwów
Wyciek ze środowisk preprodukcyjnych
© 2012 IBM Corporation
IBM Security Systems
Jak atakować?
8 IBM Confidential
© 2012 IBM Corporation
IBM Security Systems
SAP – Jak atakować?
© 2012 IBM Corporation
IBM Security Systems
Jak chronić?
10 IBM Confidential
© 2012 IBM Corporation
IBM Security Systems
GRC: Identity & Access Management for SAP
Provisioning/Deprovisiong: Quickly setup
and/or recertify SAP user account access.
Quickly locate and manage invalid SAP
user accounts.
– One Security Enforcement point
– Leveraging SAP Idm Tools
– SAP certified solutions
Productivity: Increase user productivity
through convenient yet secure single
sign-on support
– End-to-end SAP IAM solution
– Central Security Policy maintenance
incl. SAP
– One enterprise single sign on
Access and Audit: Control access to SAP
consistently
– Provides role based access control
to all SAP applications
– Enables SAP user auditing
– Enables SAP user logging
Shared Account Management for SAP
Privileged Identity Management for SAP
Cisco Secure
ACS
Cisco Secure
ACS
Business Applications
Authoritative Identity Source
(Human Resources, Customer Master, etc.)
TIM Trusted Identity Store
Accounts
jcd0895
jdoe03
doej
John C. Doe
Sarah K. Smith
smiths17
Sarah_s4
ackerh05
nbody
Sarah’s Manager
Recertification
Request
Access
Revalidated and
Audited
11
22
33
44
55
e.g. SAP HCM/HR
SAP HR Hire ITIM Approval Workflow
and User Provisioning SAP ERP
Account
© 2012 IBM Corporation
IBM Security Systems
12
Big Data
Environments
DATA
InfoSphere
BigInsights
© 2012 IBM Corporation
IBM Security Systems
13
InfoSphere Guardium – personalizacja dostępu w puli połączeń
Problem: Serwer aplikacyjny używa kont generycznych
– brak personalizacji
Rozwiązanie: Śledzenie dostępu na poziomie aplikacji – Jednoznaczna identyfikacja a nie oparta o znaczniki czasu
– Gotowa integracja z systemami - Oracle EBS, PeopleSoft, SAP,
Siebel, Business Objects, Cognos, itd.)
– Integracja z serwerami aplikacyjnymi WebLogic, WebSphere,
Oracle AS
– API do integracji z aplikacjami
– Pełna integracja z WAF F5 ASM
Application
Server
Database
Server
App User
Joe Marc
© 2012 IBM Corporation
IBM Security Systems
14
W SAP - umówienie spotkania przez BOLLINGER
© 2012 IBM Corporation
IBM Security Systems
15
© 2012 IBM Corporation
IBM Security Systems
16
W SAP – zaproszenie wysłane przez DDIC
© 2012 IBM Corporation
IBM Security Systems
17
© 2012 IBM Corporation
IBM Security Systems
18
InfoSphere Guardium – IPS aplikacyjny
Przerwanie sesji
Hold SQL
Połączenie rozłączone
Naruszenie polityki: zerwanie połączenia
Zapytanie SQL
Sprawdzenie
zgodności
z polityką
Oracle, DB2, MySQL,
Sybase, itd.
SQL
Serwery
aplikacji
S-GATE
Uprzywilejowani
użytkownicy
© 2012 IBM Corporation
IBM Security Systems
19
InfoSphere Guardium – redakcja
Redakcja Wrażliwych danych
Unauthorized Users
Issue SQL
Oracle, DB2,
MySQL, Sybase, etc.
SQL Application Servers
Outsourced DBA
Niezależne od bazy danych
Redakcja danych wrażliwych
Brak zmian w bazie
Brak zmian w aplikacji
S-TAP
Dane
przechowywane w
bazie
Widok użytkownika na dane w bazie
© 2012 IBM Corporation
IBM Security Systems
IBM InfoSphere Guardium Encryption Expert
Protect sensitive
enterprise information and
avoid production data
breaches
Minimize impact to
applications
Limit privileged user
access to sensitive data
Requirements
Benefits
Ensure compliance with
data encryption
Comply with government
and industry regulations
(for eg. PCI-DSS)
Reduce internal and
external risk and threat
exposure
Proactively enforce
separation of duties
Ensure compliance and protect
enterprise data with encryption
Database
Encryption Expert
John Smith 401 Main Street Apt 2076 Austin, TX 78745-4548
John Smith 401 Main Street Apt 2076 Austin, TX 78745-4548
*&^$ !@#)( ~|” +_)? $%~:>> %^$#%&, >< <>?_)-^%~~
Decrypt
*&^$ !@#)( ~|” +_)? $%~:>> %^$#%&, >< <>?_)-^%~~
Encrypt
Personal identifiable
information is encrypted
making it meaningless
without a proper key.
© 2012 IBM Corporation
IBM Security Systems
IBM Optim Data Privacy Solution for SAP® Software
What is Optim Data Privacy Solution for SAP software? – A pre-packaged solution for the SAP HR (HCM) module for SAP releases ERP 6.0 and 4.6C on Oracle
and DB2 – Offers contextual, application-aware, persistent masking techniques to protect confidential data with
predefined templates for masking the sensitive fields in SAP system
The Optim Data Privacy Solution for SAP currently focuses on three high-level functional areas within SAP HCM module
• Personal Administration – SAP HCM PA • Recruitment - SAP HCM PB • Personal Planning and Development – SAP HCM PD
Optim will include support for other SAP modules like FI-CO, CRM, SCM, SRM and other key functional areas as we move ahead
Application-aware masking capabilities, ensuring masked data is
realistic but fictional
Data is masked with realistic but fictional information
Context-aware, prepackaged data masking routines, making it
easy to de-identify elements such as credit card numbers & email
addresses
Data is masked with contextually correct data to
preserve integrity of test data
© 2012 IBM Corporation
IBM Security Systems
22
IBM InfoSphere Optim Test Data Management Solution
Requirements
Benefits
• Deploy new functionality more quickly and with improved quality
• Easily refresh & maintain test environments
• Protect sensitive information from misuse & fraud with data masking
• Accelerate delivery of test data through refresh
• Create referentially intact, “right-sized” test databases
• Automate test result comparisons to identify hidden errors
• Protect confidential data used in test, training & development
• Shorten iterative testing cycles and accelerate time to market
Create “right-size”
production-like environments
for application testing
Test Data
Management
100 GB
25 GB
50 GB
25 GB
2TB
Development
Unit Test
Training Integration Test
-Subset
-Mask
Production or
Production Clone
InfoSphere Optim TDM supports data on distributed platforms (LUW) and z/OS.
Out-of-the-box subset support for packaged applications ERP/CRM solutions as well as :
Other
-Compare
-Refresh
© 2012 IBM Corporation
IBM Security Systems
Applications - Vulnerability Scanning for SAP
SAP Enterprise Integration
AppScan Source and CodeProfiler for SAP ABAP applications
• Static Application Security Testing solution (source code
scanning) for various languages including Java and SAP
ABAP
• Enforce automates code analysis for security defects,
standards and service level agreements (SLAs)
• Regains control of ABAP code
Integration Features
– CodeProfiler provides advanced analysis of SAP ABAP
source
• Quick scanning without complex setup
• Detailed technical descriptions of vulnerability root causes
• Explains how vulnerabilities introduce risk and potential
impact
• Guidance to accelerate the correction process
– Static (white box) analysis of client-side issues, such as DOM-
based cross site scripting and code injection to secure SAP
and non-SAP web portals/applications and SOA middleware
– Automated dynamic (black box) testing of web vulnerabilities
and web services, Web 2.0, Rich Internet Applications
(JavaScript, Ajax, and Adobe Flash)
– Secures SAP and non-SAP web portals/applications and SOA
middleware
AppScan Enterprise Dynamic
Analysis Scanner
AppScan Source
AppScan Enterprise Server
AppScan Standard
Virtual Forge CodeProfiler
ABAP results
Black Box
White Box
White Box
Black Box
SAP Source Code scanning and Dynamic
Analysis
Ensure the security and compliance of SAP
applications: SAP source code scanning for application
vulnerabilities
Lower total cost-of-ownership:
Vulnerabilities can be corrected early in the product
development cycle and before becoming security risks
© 2012 IBM Corporation
IBM Security Systems
IBM Security Information and Event Management for SAP Enterprise Applications
SAP Environment Support (Layers to Secure and Audit)
Presentation
– Host protection products and identification products
to ensure the system logged on is not under control
of malware.
Network
– Network transaction (flow) data, router logs,
predictive risk
Applications
– SAP Auditing, Host Auditing
Host
– Operating System underlying each each server in
the
– VMware vSphere for security virtual systems/data
Databases
– Broad support of all popular database products
– Database activity monitoring (DAM) products.
QRadar
SAP Integration
© 2012 IBM Corporation
IBM Security Systems
SAP on System z Security - Best Practice Solutions
Common Criteria EAL 5 certification
DB2 trusted context with SAP
enhancing authentication
DB2 database roles with SAP
enhancing authorization and auditing
Encrypting certain SAP tables in
DB2 with strong encryption
DS8000 full disk encryption for DB2
and SAP strong encryption
TS1120 tape drive encryption for DB2
and SAP strong encryption
DRDA data stream encryption for
SAP app server DB2 data traffic
© 2012 IBM Corporation
IBM Security Systems
ibm.com/security
© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational
purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages
arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the
effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the
applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services
do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in
these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to
be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are
trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product,
or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection
and response to improper access from within and outside your enterprise. Improper access can result in information being altered,
destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product
should be considered completely secure and no single product or security measure can be completely effective in preventing improper
access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve
additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT
WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.