Функции
- Анализ кода - выявление небезопасного состояния программного кода
- Анализ защищенности - выявление небезопасного состояния настроек программного обеспечения и средств защиты
- Контроль целостности программных объектов - выявление изменений контрольных сумм критичных программных объектов
- Контроль критичных программных объектов - выявление случаев доступа к критичным программным объектам, отнесенным к информации ограниченного доступа
- Анализ транспортных запросов - выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы
- Автоматизация процесса управления безопасностью - применение программных алгоритмов для автоматизации механизмов анализа и контроля защищенности
Модули SafeERP:
Программный модуль Platform Security предназначен для выявления небезопасного состояния настроек программного обеспечения и средств защиты, контроля целостности программных объектов и доступа к критичным программным объектам информационных систем на платформах SAP NetWeaver, SAP Business Objects, SAP HANA.
Функции
Анализ защищенности.Выявление небезопасного состояния настроек программного обеспечения и средств защиты. Реализуется путем сравнения значений проверяемых настроек ПО с эталонными значениями в шаблонах проверочных сценариев. Анализ защищенности настроек программного обеспечения и средств защиты можно осуществлять по следующим группам проверок:- базис;
- базы данных (в том числе HANA);
- внешний доступ к системе;
- интернет–настройки;
- настройки параметров доступа в систему;
- ноты;
- сервисы SAP;
- стандартные учётные записи;
- транзакции;
- транспортная система;
- управление персоналом (HR) и др.
Результат анализа защищенности - перечень потенциально небезопасных конструкций.
Контроль целостности программных объектов. Выявление изменений контрольных сумм критичных программных объектов. Реализуется путем регистрации событий, связанных с изменением контрольных сумм программных объектов, поставленным на контроль. Функция использует метод периодического вычисления контрольных сумм программных объектов с использованием алгоритма MD5 или SHA-1.
Результат - оперативная информация об изменении критичных программных объектов.
Контроль критичных программных объектов. Выявление случаев доступа к критичным программным объектам, отнесенным к информации ограниченного доступа. Контроль доступа к критичным объектам (информации ограниченного доступа) реализуется путем регистрации событий, связанных с доступом к критичным объектам, поставленным на контроль.
Результат - оперативная информация (индикация событий) о наличии доступа к критичным программным объектам.
Ограничения
Анализ защищенности и контроль целостности программных объектов осуществляется для систем на платформах SAP NetWeaver на ABAP-стеке и Java-стеке не ниже версии 7.0, SAP Business Objects не ниже версии 4.1, SAP HANA не ниже версии 1.0.
Контроль доступа к критичным объектам (информации ограниченного доступа) осуществляется только для систем на платформе SAP NetWeaver ABAP.
Интеграция
Интеграция программного модуля Platform Security в проверяемые информационные системы осуществляется с помощью программных дополнений серверной и клиентской части. Ознакомиться со схемой взаимодействия программных дополнений.
Применение
Основные причины инцидентов ИБ — небезопасные настройки программного обеспечения и неконтролируемый доступ к критичным объектам, приводящие к уязвимостям систем и утечке конфиденциальной информации. Для предотвращения потенциальных угроз, связанных с несанкционированным доступом к системным данным, в информационных системах необходимо применять актуальные механизмы анализа защищенности и контроля доступа.
Применение программного модуля Platform Security, как автоматизированного средства сбора и обработки данных, позволит снизить издержки на проверку защищенности доступа к данным информационных систем и минимизировать риски их компрометации.
Преимущества
- соответствие стандартам и требованиям ИБ (ISACA, DSAG, PCI DSS, ISO27001:2013, ФСТЭК России);
- быстрая интеграция, отсутствие инфраструктурных затрат (сертифицированный SAP Add-On);
- интерфейс и описание проверок на русском языке;
- детальное описание проверок и возможных угроз;
- возможность создания индивидуальных профилей проверок;
- широкие возможности представления отчетов (технические для разработчиков и наглядные для руководства);
- пополняемая база проверок.
Программный модуль Code Security предназначен для выявления небезопасного состояния программного кода ABAP в информационных системах на платформе SAP NetWeaver.
Функции
Анализ кода. Выявление небезопасного состояния программного кода.Анализ транспортных запросов. Выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы.
Программный модуль позволяет осуществлять анализ ABAP-кода непосредственно в процессах жизненного цикла программного обеспечения:
- Разработка. Выявление небезопасного состояния программного кода на этапе его разработки.
- Тестирование. Выявление небезопасного состояния программного кода на этапе его квалификационного тестирования.
- Реализация/эксплуатация. Выявление небезопасного состояния программного кода на этапе инсталляции программного обеспечения или его эксплуатации.
- Работа с транспортными запросами. Выявление небезопасного состояния программного кода при переносе его по ландшафту системы.
Анализа программного кода реализуется путем сравнения проверяемого массива данных с шаблонами небезопасных конструкций программного кода, содержащихся в проверочных сценариях.
Code Security позволяет автоматизировать процесс анализа программного кода и выявить в нем небезопасные конструкции по следующим категориям:
Безопасность.Реализовано более 100 сценариев, позволяющих осуществлять проверки программного кода на потенциально небезопасные языковые конструкции:
- вызовы методов ABAP Kernel;
- динамическое выполнение команд;
- динамические вызовы ABAP-кода;
- использование команд DYNPRO;
- использование таблиц базы данных без авторизационных групп;
- критичные системные вызовы;
- критичный доступ к операционной системе;
- критичные запросы к системе управления базой данных;
- межсайтовый скриптинг;
- отсутствие проверки полномочий;
- программные закладки;
- явно заданные проверки;
- SQL–инъекции и др.
- неэффективное использование полей индекса таблиц;
- неэффективное использование команд внутри циклов;
- неэффективные запросы к базе данных;
- неэффективное использование памяти;
- обход буферизированных таблиц и др.
- использование текстовых объектов на разных языках;
- ненадлежащее использование псевдокомментариев;
- отсутствие контроля значения переменной sy-subrc после команд;
- процентное соотношение код/комментарии (если количество строк комментариев в тексте кода менее 30%);
- некорректное использование программных алгоритмов;
- явно заданные значения объектов и др.
Интеграция
Интеграция программного модуля Code Security в проверяемые информационные системы осуществляется с помощью программных дополнений серверной и клиентской части. Ознакомиться со схемой взаимодействия программных дополнений.
Применение
Основной причиной инцидентов информационной безопасности становятся ошибки кодирования программного обеспечения, приводящие к уязвимостям программ и систем в целом. Для предотвращения потенциальных угроз, связанных с уязвимостями ПО, к информационным системам необходимо применять актуальные механизмы анализа программного кода.
Применение программного модуля Code Security, как автоматизированного средства сбора и обработки данных, позволит снизить издержки на проверку программного кода информационных систем и минимизировать риски передачи небезопасного программного обеспечения в эксплуатацию.
Преимущества
- соответствие ключевым стандартам и требованиям к качеству разработки;
- быстрая интеграция, отсутствие инфраструктурных затрат (сертифицированный SAP Add-On);
- категоризация потенциальных уязвимостей и возможность их ранжирования;
- интерфейс и описание проверок на русском языке;
- детальное описание потенциальных уязвимостей с примерами эксплуатации;
- проверка программного кода без выгрузки из информационной системы;
- широкие возможности представления отчетов;
- пополняемая база проверок.
Версия SafeERP Security Suite включает в себя оба модуля.
Интеграция
Интеграция SafeERP в проверяемые информационные системы осуществляется с помощью программных дополнений:
- Серверная часть - программное дополнение для установки на централизованную систему настройки программного средства, осуществляющее управление сбором данных с проверяемых систем, хранение эталонных значений проверяемых параметров и формирование отчетов.
- Клиентская часть - программное дополнение для установки на проверяемую систему, осуществляющее сбор и подготовку данных, передаваемых на сервер управления
Ознакомиться со схемой взаимодействия программных дополнений.
Применение
Информационные системы хранят и обрабатывают конфиденциальные и важные для бизнеса данные, являются платформами для автоматизации и повышения эффективности процессов управления компаниями. Результатом их функционирования становятся документы, информационные массивы, базы данных и информационные услуги. Для предотвращения нарастающих угроз в информационной сфере к информационным системам должны применяться актуальные механизмы защиты.
Применение SafeERP позволяет автоматизировать сбор и обработку защищаемых данных, оптимизировать трудозатраты на мониторинг и анализ событий информационной безопасности.
Преимущества SafeERP
- включен в реестр отечественного ПО;
- интерфейс и описание проверок на русском языке;
- проверка программного кода без выгрузки из информационных систем;
- пополняемая база проверок.