Безопасность SAP: новый способ решения

октябрь 2012, №5 / Журнал "Защита информации. INSIDE"

Введение

Мониторинг ландшафта SAP, анализ полученных данных и необходимые действия по защите являются важной составляющей процесса обеспечения информационной безопасности. (Ландшафт – это системы SAP, между которыми можно переносить настройки и программы.) Можно использовать несколько различных инструментов мониторинга информационной безопасности, однако часто обнаруживается, что эти инструменты являются точечными решениями, отслеживающими только один аспект ИБ (например, авторизацию без учета конфигурации и пр.), не интегрированы друг с другом или недостаточно гибки. А некоторые функции мониторинга этими инструментами не поддерживаются вообще и могут быть реализованы только с помощью ручной проверки файлов журнала событий (рис. 1).

Рис. 1. Аспекты обеспечения ИБ SAP

Приложения SAP являются частью более обширного ландшафта (значение термина «ландшафт» указано в предыдущем параграфе). Естественно, мониторинг информационной безопасности не может быть ограничен изолированной частью ИТ-инфраструктуры предприятия, например системой SAP или средствами авторизации в SAP. ИТ-специалисты должны видеть полномасштабную ясную картину всех ИТ-процессов.

Недавно на рынке ИБ появилось новое готовое решение – agileSI (SI означает Security Intelligence), которое может быть использовано для мониторинга почти всех аспектов безопасности SAP, способно интегрировать другие решения аудита/контроля или же заменять их, а также дает полное и четкое представление об уровне безопасности ландшафта SAP. Интерфейс данного решения может быть реализован через систему управления событиями информационной безопасности (Security Intelligence and Event Management, SIEM) или собственный интерфейс agileSI (рис. 2).

Рис. 2. Решение agileSI может собирать данные из систем SAP напрямую или через продукты других производителей (включая пользовательские). agileSI позволяет производить анализ и представлять данные в центр управления. Решение может быть аналитическим инструментом или поисковым движком для системы безопасности SAP, включая весь ландшафт и все аспекты безопасности SAP

Безопасность SAP: серьезные вопросы

На примерах из практики обеспечения информационной безопасности давайте разберем, как влияет на уровень безопасности использование инструментов для автоматизации, таких как agileSI.

Безопасный код
Очевидно, что для обеспечения безопасности системного ландшафта необходимо предпринять комплекс мер начиная с безопасного кода. Решения SAP являются стандартными программами, но они постоянно модифицируются. Уязвимости в их коде могут вести к потере целостности/конфиденциальности данных или к тому, что злоумышленники получат контроль над бизнес-процессами и системой. Ручное исследованиекода может быть заменено использованием CodeProfiler – сканера программного кода, написанного на языке ABAP. Этот сканер обладает базой данных, которая содержит сигнатуры известных ошибок для определения уровня безопасности кода (а также его производительности и качества), и может находить уязвимости в пользовательском коде и продуктах партнеров (рис. 3).

Рис. 3. Сканер CodeProfiler: пример проверки возможности потери данных. Пользователи могут определить, какие данные будут контролироваться. После этого CodeProfiler сканирует приложение и показывает, где реализована возможность доступа к критическим данным и их утечек

Помимо повышения уровня безопасности и формирования исчерпывающих отчетов по результатам сканирования (что повышает прозрачность и позволяет проводить аудит), этот инструмент обеспечивает возврат инвестиций, поскольку:

• — отсутствуют ручные исследования кода, что экономит время, деньги и дает возможность разработчикам сосредоточиться на своей основной работе;
• — сканер CodeProfiler можно использовать при написании программ;
• — обратная связь с разработчиком позволяет сократить число допущенных уязвимостей и других проблем.

Исследования показывают: чем на более ранней стадии жизненного цикла программного обеспечения найдена ошибка, тем дешевле обходится ее исправление. В идеале программисты совсем не должны допускать появления ошибок, и CodeProfiler в этом им помогает.

CodeProfiler работает на каждом из трех уровней цикла DEV-QASPRD (Development – Quality Assurance – Production, разработка – контроль качества – производство) в системном ландшафте. Это означает, что по каждой продуктивной системе SAP ИТ-специалисту доступен единый отчет. Продукт agileSI может использоваться для улучшения отчетности, подаваемой в центральную инстанцию (центральная инстанция в терминологии SAP – это сервер приложений и СУБД), где качество кода и соответствие передовым практикам кодирования могут быть проконтролированы в рамках всего системного ландшафта.

Управление изменениями
Изменения в продуктивной среде реализуются через систему управления переносом (транспортом) SAP (система переноса транспортирует программы и настройки между системами SAP). Эти изменения могут быть очень важны с точки зрения безопасности, поскольку в их ходе возможен перенос критических объектов, таких как пользователи или измененные роли. Переносы в необычное время – вне периодов обслуживания – должны рассматриваться как аварийные работы, а если это не так – их следует считать подозрительными.

На сегодняшний день уже имеются инструменты, улучшающие стандартные технологии и процессы управления изменениями SAP. Но эти инструменты не интегрируются с любым решением, обеспечивающим мониторинг безопасности. Поэтому часто служба безопасности не знает, какие изменения происходят в системах SAP.

agileSI может отслеживать изменения/переносы и позволяет службе ИТ-безопасности просматривать изменения и в случае необходимости действовать.

Конфигурация системы

Рис. 4. За последние три года число уязвимостей в SAP резко увеличилось

Новые уязвимости программного обеспечения обнаруживаются ежедневно (рис. 4), поэтому рекомендуется выполнять проверки конфигурации систем по крайней мере раз в месяц. Правильно настроенная система, имеющая все выпущенные исправления, оставляет мало возможностей для атакующих хакеров. Иначе говоря, отсутствие уязвимостей подразумевает и отсутствие успешных атак.

Ни один специалист не сможет регулярно выполнять такие проверки вручную, поскольку для этого необходимо тестировать десятки параметров системы, а также системных и клиентских настроек. Существуют несколько инструментов, автоматизирующих такую работу, но все они не лишены недостатков.

1. Инструменты проверки зачастую работают только на одной системе, предоставляя клиенту огромный доклад (например, 100 страниц PDF-формата) для каждой системы ландшафта SAP. Проблема заключается в том, что просматривать и анализировать такие доклады не намного легче, чем проводить ручную проверку.
2. Недостаточная гибкость отдельных инструментов. Так, сервис SAP (или сервис самообслуживания) не может быть изменен таким образом, чтобы учитывать политики безопасности клиентов. Кроме того, некоторые инструменты не могут извлекать необходимые для анализа данные или в них трудно и затратно добавлять новую функциональность (например, для этого требуется кодирование).

Примером такого не очень удобного сервиса, для которого характерны оба недостатка, является SAP Security Optimization.

agileSI – это достаточно мощное средство извлечения данных, а также гибкий и легко настраиваемый продукт. Его можно конфигурировать «с нуля», хотя многие специалисты используют уже имеющиеся конфигурации, сделанные на основе рекомендаций SAP и других общепринятых передовых практик. С agileSI можно постоянно проверять свой ландшафт SAP, действуя, например, согласно указаниям German SAP User Group (DSAG).

Контроль доступа и разделение обязанностей (Segregation4of4Duties, SoD)
В проектах развертывания и запуска решений SAP проектирование и поддержание ролей для обеспечения контроля доступа к данным и процессам являются важной частью концепции безопасности. Существует ряд инструментов поддержки разработки ролей, а также инструменты, которые помогают в мониторинге полномочий/ролей пользователей в системах SAP и в обнаружении пользователей с высокими привилегиями, возможно, нарушающих требования SoD SAP. Для выполнения этих задач может быть использован продукт BusinessObjects GRC Access Control (это решение имеет и другие функции).

Продукт agileSI тоже способен выполнять эти функции. Для мониторинга SoD можно использовать решение agileSI либо другой инструмент, а затем интегрировать предоставляемые им данные в отчетность agileSI. Использование одного только инструмента – agileSI – является наиболее простым и экономичным решением.

Обнаружение атак
Однако в приложениях SAP имеются и некоторые внутренние уязвимости, поэтому необходимо контролировать их правильную конфигурацию и проводить мониторинг происходящей в них активности.

Одним из примеров уязвимости является шлюз SAP (SAP Gateway), который контролирует все связи между системой SAP и внешними программами – другими системами SAP и продуктами сторонних производителей. При неправильной настройке шлюза внешняя программа может выполнить произвольный код на сервере приложений SAP, предоставляя злоумышленнику полный контроль над системой SAP. Скорее всего, такая атака будет производиться с использованием эксплойта, поэтому настоятельно рекомендуется проводить мониторинг шлюза для обнаружения потенциальных атак.

Данные для мониторинга шлюза SAP находятся в специальном лог-файле и доступны очень немногим инструментам мониторинга, в том числе и agileSI. Также в процессе мониторинга могут быть выявлены другие критические действия, такие как запуск команд операционной системы пользователями SAP или активность, связанная с разработкой продуктивной системы.

Транзакции и мониторинг действий привилегированных пользователей
Важные бизнес-процессы часто находятся под контролем автоматизированных систем, обеспечивающих разделение обязанностей меж- ду сотрудниками или отделами. Активность некоторых интернет-пользователей, в частности администраторов и пользователей услуг, требует особого контроля, поскольку сотрудники часто пытаются обходить подобные системы управления. Но большинство атак, а также наиболее успешные атаки, когда компании теряют значительные суммы денег или интеллектуальную собственность, производятся инсайдерами. Поэтому система мониторинга программтранзакций (Transaction Monitoring) является важной частью всей системы мониторинга безопасности SAP (транзакция в терминологии SAP – это прикладная программа, выполняющая в системе бизнес-процесс и осуществляющая определенный логически завершенный набор действий над данными). Инструмент agileSI может быть использован для сбора и анализа данных, связанных с действиями привилегированных пользователей.

Заключение

Новый agileSI решает многочисленные проблемы в области мониторинга безопасности SAP: произво- дит полностью автоматический и непрерывный мониторинг, интегрируя данные из всех систем (в том числе, продуктов сторонних производителей и пользовательских решений), и представляет их одной центральной инстанции (пояснение термина «центральная инстанция» см. выше). Пользователи получают дополнительную выгоду как от глубины и точности анализа, так и от широты охвата мониторинга (рис. 5).

Рис. 5. agileSI™ охватывает широкий спектр требований к мониторингу безопасности SAP. Извлечение и обработка данных безопасности из различных систем SAP помогает анализировать и представлять информацию в едином центре, обеспечивая постоянный и полный мониторинг безопасности всего ландшафта SAP

В заключение перечислим ос- новные преимущества использования agileSI:

• — автоматизация ручных операций, что снижает совокупную стоимость владения системой мониторинга безопасности SAP;
• — стандартные проверки включены по умолчанию (при необходимости можно добавлять новые);
• — операции становятся более прозрачными, что позволяет подразделениям, ответственным за мониторинг операций, быстро получать информацию и оперативно на нее реагировать;
• — agileSI заменяет несколько других инструментов и является более мощным по сравнению с многими специализированными средствами мониторинга безопасности (рис. 6).

Рис. 6. Преднастроенные отчеты, основанные на общепринятых контрольных инструкциях и рекомендациях безопасности SAP, помогают клиентам улучшать систему безопасности и реагировать на инциденты безопасности. Решение обеспечивает необходимые результаты из коробки, но легко настраивается, чтобы соответствовать специфичным требованиям политики безопасности клиентов

Андреас Мертц, iT CUBE SYSTEMS GmbH
Павел Волков, компания ARinteg, Москва

Поделиться: