Компания SAP AG активно завоевывает рынок бизнес-решений. И защищенность ее решений - задача первой необходимости. Специалисты часто уделяют больше внимания функциональности, нежели безопасности. Программный комплекс SafeERP от "Газинформсервиса" позволяет автоматизировать процесс управления безопасностью и предоставляет полную картину о состоянии защищенности всех SAP-систем.
6 июля 1992 г. компания SAP AG официально выпустила SAP R/3 (предшественника SAP ERP) и продолжила завоевывать мир своими решениями для бизнеса, постепенно заставляя своих клиентов и партнеров-интеграторов все глубже и глубже разбираться в вопросах защиты бизнес-приложений, построенных на базе технологической платформы SAP NetWeaver Application Server (AS).
Глобальный рост решений на базе SAP NetWeaver AS, сложные и масштабные по своим размерам ландшафты SAP-систем, сотни миллионов строк кастомизируемого программного кода (ABAP/4, Java) у клиентов заставили нас пересмотреть подходы к защите этих систем.
Уже недостаточно заблокировать системные учетные записи диалоговых пользователей, создаваемых в SAP-системе по умолчанию (давайте вспомним учетную запись SAP* с паролем 06071992, напоминающим нам о старте продаж SAP R/3), безопасно настроить межсетевое взаимодействие, настроить аудит событий информационной безопасности и защитить операционную систему, просканировав свою систему сканером уязвимостей (как правило, не являющимся специализированным).
Задачи защиты
Чтобы создать защищенную SAP-систему и обеспечить ее безопасное функционирование на всех этапах жизненного цикла, необходимо решить ряд задач на всех уровнях и для всех компонентов создаваемой системы.
К таким задачам можно отнести следующие. Размещение компонентов по сегментам (зонам безопасности) в соответствии с выбранной архитектурой и существующей инфраструктурой компании. Комплексная защита пользовательских рабочих мест и серверных компонентов. Обеспечение безопасности сетевого взаимодействия, включающее защиту удаленного доступа диалоговых пользователей и межсистемного взаимодействия. Управление учетными записями пользователей и их доступом. Реализация концепции предоставления пользователям прав, минимально необходимых для работы в SAP-системе. Безопасная настройка компонентов системы, включая технологическую платформу SAP NetWeaver AS: контроль или отключение небезопасных (недоверенных) соединений, блокирование необязательного функционала, доступного по умолчанию, настройка аудита и др. Систематическое обновление (из доверенных источников) общесистемного и прикладного программного обеспечения и многие другие задачи.
И все это должно быть подвергнуто непрерывному мониторингу, систематической (и по требованию) оценке соответствия заданным требованиям безопасности, комплексному анализу защищенности, а также позволять осуществлять оперативное и объективное расследование инцидентов информационной безопасности, возникающих в системе.
Важно отметить, что все усилия по защите технологической платформы SAP NetWeaver AS, включая системно-техническую инфраструктуру, в которой она функционирует, могут быть сведены к нулю, если сама система содержит уязвимости. И тут проблемы не только в стандартном коде, поставляемом SAP AG. Внедрение SAP-систем сопровождается масштабными разработками, призванными адаптировать стандартные функциональные модули под нужды конкретного заказчика. Разработки ведутся, как правило, на проприетарном языке компании SAP AG - ABAP/4, и их качество напрямую зависит от квалификации разработчика.
Ошибки, допущенные в ходе разработки программного кода, могут создавать дополнительные каналы утечки защищаемой информации и делать SAP-систему уязвимой. Например, ABAP-программы могут запускать SAP-транзакции путем вызова команды CALL TRANSACTION, которая не выполняет проверку полномочий текущего пользователя. Отсутствие в коде программы проверки полномочий делает возможным предоставление необоснованно расширенного доступа к функционалу SAP-системы.
Таким образом, комплексный подход к вопросам защиты SAP-систем должен включать целый пакет услуг и программных средств защиты информации с учетом разделения систем на несколько уровней или блоков задач. Уровень системно-технической инфраструктуры: защита рабочих мест пользователей и сетевого (межсистемного) взаимодействия, удаленного доступа пользователей, безопасность платформ виртуализации и общесистемного ПО, резервное копирование и восстановление критически важных данных. Уровень платформы (Basis) - уровень технологической платформы SAP NetWeaver AS: управление обновлениями, безопасная настройка серверов приложений, отключение анонимных и других небезопасных сервисов, настройка аудита событий безопасности, продуманная политика управления учетными записями пользователей и их привилегиями. Прикладной уровень - уровень функциональных модулей, включающих как стандартный код SAP-систем, так и программный код, реализуемый функциональными разработчиками этих систем (ABAP), вопросы разделения полномочий бизнес-пользователей (GRC, SoD), вопросы применения криптографических методов защиты информации, в т.ч. с использованием сертифицированных средств (шифрование, электронная подпись).
Безопасность против функциональности
Еще недавно защита информации в ERP-системах сводилась к решению вопросов обеспечения информационной безопасности на системно-техническом уровне, а защита информации в самом приложении сводилась к выполнению базисных функций. Работа подразделений информационной безопасности зачастую осложнена отсутствием требуемой квалификации в вопросах защиты SAP-систем и хорошего инструмента для автоматизации функций защиты. В то же время специалисты, администрирующие технологическую платформу, вопросам сопровождения функционала системы уделяют первостепенное внимание, нередко в ущерб вопросам безопасности. По эту же "сторону баррикад" находятся функциональные разработчики.
Так как же защитить SAP-систему, если она стоит в основе автоматизации основных бизнес-процессов компании? Как упредить наступление ущерба от возможной реализации недекларируемых функций в программном коде системы или ошибок программирования? Как убедиться в том, что система не подвергнута несанкционированным воздействиям, все производимые изменения санкционированы и система штатно функционирует в защищенном исполнении?
Комплексный подход
Для повышения уровня защищенности систем и получения квалифицированного подтверждения о соответствии создаваемого программного кода заданным критериям и лучшим практикам компания "Газинформсервис" оказывает услуги по анализу кода на предмет содержащихся в нем уязвимостей и консультирует по вопросам их устранения.
Исправленный по результатам анализа программный код подлежит фиксации и контролю на неизменность. Любое внесение изменений в кастомизируемый код, также как и в настройки SAP-системы, должно быть санкционировано и подлежать постоянному контролю со стороны лиц, ответственных за вопросы информационной безопасности компании.
Для решения таких задач компанией "Газинформсервис" был разработан программный комплекс SafeERP, автоматизирующий процесс управления безопасностью в SAP-системах за счет предоставления полной картины о состоянии защищенности контролируемых им систем.
Продукт предназначен для применения в составе комплексного решения, предполагающего реализацию мер по защите SAP-систем (всего системного ландшафта) на этапах разработки и сопровождения вкупе с услугами по анализу программного кода (ABAP) на наличие в нем уязвимостей.
Основу комплекса составляют сервер управления и агенты, устанавливаемые в SAP-системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP систем. Настройка работы комплекса происходит на сервере управления с использованием консоли администратора, где выбираются необходимые политики безопасности и задаются параметры сбора информации с агентов. Комплекс позволяет быстро проанализировать SAP-систему на соответствие разработанным профилям безопасности, поставить на контроль критичные ABAP-разработки и осуществлять непрерывный мониторинг штатного функционирования этих систем.
Для оценки защищенности контролируемых SAP-систем на их стороне устанавливается клиентская часть SafeERP, которая осуществляет контроль соответствия текущих настроек системы настройкам, заданным в соответствии с требованиями по безопасности. Данные требования, как правило, разрабатываются для каждого клиента отдельно с учетом индивидуальных особенностей. Настройку SafeERP упрощает наличие предустановленных шаблонов профилей безопасности, разработанных компанией "Газинформсервис" на основе полученного опыта и лучших практик по защите SAP-систем. Тратить много времени на создание нового профиля (перечня критериев оценки) для своей системы не нужно - можно воспользоваться нашими наработками.
Для контроля наиболее важных информационных ресурсов SAP-системы необходимо выявить критичные ABAP-разработки и поставить их на контроль. Процедура постановки занимает несколько минут и включает в себя вычисление контрольных сумм объектов репозиториев для последующего их надежного хранения в качестве эталонного значения. Любое внесение изменение в программный код должно сопровождаться вычислением нового значения контрольной суммы. Данный механизм позволяет контролировать изменения программного кода, произведенные как стандартным способом (с помощью транспортной системы), так и прямым изменением кода в таблицах СУБД.
Таким образом, можно быть уверенным в том, что кастомизируемое программное обеспечение легитимно и не было подвержено несанкционированному изменению в ходе эксплуатации системы.
Мониторинг штатного функционирования осуществляется посредством сбора, обработки, защищенного хранения и корреляции событий информационной безопасности, происходящих в контролируемых SafeERP системах.
SafeERP, в отличие от большинства существующих систем управления инцидентами (Security Information and Event Management, SIEM), при соответствующей настройке позволяет отслеживать доступ к информации ограниченного доступа, обрабатываемой контролируемой SAP-системой. В дополнении к этому SafeERP имеет программный интерфейс для интеграции (передачи событий) в другие SIEM-системы.
Таким образом, применение программного комплекса SafeERP, наряду с другими решениями по защите SAP-систем, позволяет всесторонне подойти к вопросу обеспечения информационной безопасности в компании и получить уверенность в том, что защищаемые активы не модифицированы, а системы функционируют в защищенном режиме.