1 / 54

Новое в анализе SAP с использованием MaxPatrol

Новое в анализе SAP с использованием MaxPatrol. Дмитрий Гуцко. Руководитель группы анализа безопасности бизнес-систем Positive Technologies. План вебинара :. Часть I Транспорты при сканировании SAP Полномочия учетных записей Часть II Настройка профиля сканирования

hedya
Download Presentation

Новое в анализе SAP с использованием MaxPatrol

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Новое в анализе SAP с использованием MaxPatrol Дмитрий Гуцко Руководитель группы анализа безопасности бизнес-систем Positive Technologies

  2. План вебинара: • Часть I • Транспорты при сканировании SAP • Полномочия учетных записей • Часть II • Настройка профиля сканирования • Особенности режимов сканирования • Часть III • Разбор ошибок при сканировании SAP • Часть IV • Ключевые особенности MaxPatrol

  3. Часть IТранспорты MaxPatrolпри сканировании SAP

  4. Транспорты MaxPatrolдля SAP • SAP RFC (Основной транспорт) + Высокая скорость работы + Не используемFM собственной разработки - Не всю информацию можем получить из системы • SAP DIAG + Можем получить любую информацию • Низкая скорость работы, возможны ошибки • Необходимо включить GUI скриптинг • Транспорт ОС Windows (RPC, WMI) + Может найти несколько SAP системна одном узле + Быстрая скорость при работе с файлами - Мало информации

  5. Транспорты MaxPatrolдля SAP • Транспорты ОС *nix (SSH) + Может найти несколько SAP систем на одном узле + Быстрая скорость при работе с файлами - Мало информации • Транспорт БД Oracle + Позволяет сканировать одновременно все клиенты на одном сервере приложения + Быстрая скорость при работе с таблицами - Не всю информацию можем получить из системы • Транспорт Telnet ( SAP AS JAVA) - Мало информации - Небезопасный протокол

  6. Сравнительная характеристика транспортовпри сканировании SAP AS ABAP

  7. Полномочия учетной записи SAP DIAG SAP RFC

  8. Часть IIНастройка профиля сканирования

  9. Настройки профиля. Режимы сканирования. • Pentest + Для проведения сканирования не требуются учетные записи + Обнаружение сервисов SAP. Подбор клиентов сервера приложений. + Подбор паролей учетных записей по словарю (учетные записи при этом могут блокироваться) + Восстановление учетной записи в БД Oracle - Мало информации

  10. Настройки профиля. Режимы сканирования. • Audit + Обнаружение уязвимостейсвязанных с настройкой + Безопасный подбор паролей учетных записей по словарю + Обнаружение не установленных SAP security notes + Сбор данных по инвентаризации. Возможность строить дифференциальные отчеты по изменениям в системе. + Акцент на критичных уязвимостях. Степень критичности можно оценить с помощью статистических данных -Для проведения сканирования необходимы учетные записи

  11. Настройки профиля. Режимы сканирования. • Compliance + Проверка соответствия заданной политике + Возможность создавать свои собственные контроли на основе шаблонов + Возможность переопределения контролей - Долгое время сканирования

  12. Настройки профиля. Режим сканирования.

  13. Настройка учетных записей для транспортов

  14. Настройки профиля. Дополнительные настройки. • Отключение ненужных транспортов

  15. Настройки профиля. Дополнительные настройки.

  16. Разбор ошибок сканирования

  17. Разбор ошибок сканирования • ДетектSAP прошел неуспешно

  18. Разбор ошибок сканирования • ДетектSAP прошел неуспешно

  19. Разбор ошибок сканирования • ДетектSAP прошел неуспешно

  20. Разбор ошибок сканирования Определение ошибок по лог файлам Включение логирования

  21. Разбор ошибок сканирования Определение ошибок по лог файлам Включение логирования

  22. Разбор ошибок сканирования Определение ошибок по лог файлам Поиск в лог-файле момента выполнение скрипта SAP.sap_ecc_addfirststagesoft_detection

  23. Разбор ошибок сканирования • ДетектSAP прошел успешно

  24. Разбор ошибок сканирования • ДетектSAP прошел успешно

  25. Ключевые особенности MaxPatrol при сканировании SAP систем

  26. 1. Подбор паролей учетных записей Возможность подбора в режиме Auditслабых паролей учетных записей SAP по словарю • Поддержка всех алгоритмов хэшированияSAP • Учетные записи при подборе паролей не блокируются • Ассоциация найденных учетных записей со статусом учетной записи • Ассоциация найденных учетных записей с расширенными привилегиями в системе

  27. 1. Подбор паролей учетных записей

  28. 2. Подбор паролей учетных записей Возможность подбора в режиме Pentestслабых паролей учетных записей SAP по словарю • Возможность подбора через протоколы SAP DIAG и SAP RFC • Возможность создавать свои справочники

  29. 2. Подбор паролей учетных записей

  30. 3. Восстановление паролей RFC Возможность восстановления в режиме Audit данных аутентификации в другие SAP системы, заданные в RFC соединениях • Восстанавливаются пароли любой сложности • Отслеживание потенциальных возможностей злоумышленника (общая рекомендация: использовать трастовые отношения) *Необходимо использовать транспорт БД (Oracle)

  31. 3. Восстановление паролей RFC

  32. 4. Сканирование SAP с использованием транспорта БД Возможность сканирования SAP в режимах Audit, Compliance с использованием учетной записи в БД Oracle • Увеличение скорости сканирования (в среднем сканирование всей системы занимает 5-10 минут) • Сканирование всех клиент(мандант) SAP за одно сканирование в режиме Audit • Снижение затрат по поддержке задач сканирования и учетных записей • Получение информации, которая может быть получена только через транспорт БД (например восстановление паролей RFC соединений) *Список поддерживаемых БД: Oracle

  33. 4. Сканирование SAP с использованием транспорта БД

  34. 5. Remote OS Authentication Возможность восстановления в режиме Pentest данных аутентификации, используемых SAP при сопряжении сБД Oracle • О системе необходимо знать только порт Oracle Listener и SID • В совокупности с возможностью сканирования SAP через БД, получаем возможность проведения полного анализа системы, не обладая данными аутентификации в SAP системе

  35. 5. Remote OS Authentication

  36. 6. Поддержка старых версий Возможность сканирования в режимах Audit, Compliance старых версий SAP • AS ABAP • SAP NetWeaver,начиная с версии 6.4 • SAP R\3, начиная с версии 4.6B • SAP R\3 Enterprise 4.7 • AS JAVA • SAP NetWeaver, начиная с версии 7.0

  37. 6. Поддержка старых версий

  38. 7. Поддержка бизнес модулей Возможность сканирования не только платформ SAP AS ABAP/AS JAVA, но и специализированных бизнес модулей • SAP HCM • SAP MM *SAP SRM, CRM, MDM – Roadmap 2013- 2014

  39. 8. Отображение пути авторизации Отображение в результатах Compliance пути получения пользователем тех или иных полномочий в системе • Сокращение времени администраторов на анализ привилегий пользователей • Отображение всех возможных путей авторизации • Поддержка многочисленных вложений профилей и ролей • Поддержка ссылочных учетных записей(Reference user)

  40. 8. Отображение пути авторизации

  41. 9. Отображение статистики Отображение в результатах Auditстатистической информации по найденным пользователям • Статистика по расширенным полномочиям пользователей • Статистика по пользователям • Статистика по парольной политике

  42. 9. Отображение статистики

  43. 10. Анализ инфраструктуры Поддержка сканирования в режимах Audit, Compliance:ОС, БД, Сетевого оборудования • СУБД • MSSQL 2000/2005/2008/2012 • Oracle 8/9/10/11 • DB2 8/9 • ОС • Windows 2003/2008 • Linux RedHat/Suse • Unix Solaris/AIX/HP-UX • Сетевое оборудование • Cisco, Juniper, Nortel, Alcatel

  44. 11. Контроль изменений Отслеживание изменений в SAP через систему дифференциальных отчетов • Вся информация инвентаризации нормализована • Отслеживание созданных пользователей, новых назначений ролей и профилей • Отслеживание изменений параметров конфигурации системы (например параметров профиля) • Отслеживание новых RFC соединений • Отслеживание изменений в парольной политике

  45. 11. Контроль изменений

  46. 11. Контроль изменений

  47. 11. Контроль изменений

  48. 11. Контроль изменений

More Related