Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Die Top 5 Mythen der SAP Sicherheit

1.903 Aufrufe

Veröffentlicht am

Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
SAP Security - DSAG Jahreskonferenz 2013

  • Als Erste(r) kommentieren

Die Top 5 Mythen der SAP Sicherheit

  1. 1. Dr. Markus Schumacher, Virtual Forge GmbH Ralf Kempf, akquinet AG Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
  2. 2. 2 SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit? 1. Mythos: Rollen und Berechtigungen – wir sind sicher! 2. Mythos: Wir nutzen SAP nur im Intranet 3. Mythos: Wir nutzen nur den Standard. 4. Mythos: Hacker kennen sich mit SAP nicht aus 5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns AGENDA
  3. 3. SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
  4. 4. 4 Evolution der SAP Landschaft Früher Heute Morgen • Isolierte Systeme • Lange Release-Zyklen • Geringe Angriffsfläche • Security durch Firewalls • Offene Systeme • Erhöhte Release-Zyklen • Netzwerkgrenzen verschwinden • Cloud-basierte Anwendungen • Hacker Angriffe (s. Nachrichten) • Weiter Öffnung d. Systeme • Sehr hohe Release-Zyklen • Verbundene Netze • IT-basierte Spionage (PRISM, etc.) • Cyber Attacks & Wirtschaftsspionage
  5. 5. 1. Mythos Rollen und Berechtigungen – wir sind sicher!
  6. 6. 6 Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!  Was ist mit der Absicherung der SAP Basis, Server und Datenbank?  Kundenreports und Transaktionen prüfen meistens keine Berechtigungen! Durch laufende SoD Analysen wird Missbrauch verhindert  Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt  Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt (Tabellenpflege, Transporte, Datenbankmanipulationen) SA38 können bei uns alle Benutzer. Das ist doch unkritisch.  Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE  Direkte Code Manipulation in ungepatchten Systemen (Hinweise 1167258 und 1853161)  Oder ABAP RC1TCG3Y/ RC1TCG3Z  Unix File Up- und Download (Hinweise 1552798 und 1505368) Mythos: Rollen und Berechtigungen – wir sind sicher!
  7. 7. 7 Demo: Betriebssystemzugriff durch SA38 Rechte Step 1: rfcexec.sec herunterladen Step 2: Deny all durch permit all ersetzen Step 3: rfcexec.sec hochladen Step 4: Unix/Windows Befehl als SIDADM per SA38 ausführen.
  8. 8. 2. Mythos Wir nutzen SAP nur im Intranet
  9. 9. 9 Wirklich nur im Intranet? Wir finden Dich! Google is Hacker‘s Best Friend!
  10. 10. 10 Risiken  In vielen Fällen Sicherheistbewusstsein nur wenig ausgeprägt.  Bedrohungen durch Innentäter erscheinen im Unternehmen als unvorstellbar.  Einfachste Angriffswege auf Webservices, J2EE Systeme und Gateways möglich.  SAPGUi Datenstrom kann abgehört werden ! Wettbewerbsvorteile in Gefahr  Spionage, Diebstahl, Sabotage, Korruption, oder IT-Kriminalität Bedrohung durch Innentäter Quelle:
  11. 11. 11 Demo: Datenklau durch die Hintertür ...
  12. 12. 3. Mythos Wir nutzen nur den Standard
  13. 13. 13 Oftmals unklar, wieviel Eigenentwicklungen im System sind  62,5 % Wahrscheinlichkeit einer ABAP Command Injection  100 % Wahrscheinlichkeit eines Berechtigungsfehlers  95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012) ~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code
  14. 14. 14 Eigenentwicklungen  Umgehen oft Rollen- und Berechtigungen  Beispiel: Aufrufen von Transaktionen – ohne Berechtigung Demo: Ausnutzen typischer Sicherheitslücken
  15. 15. 15 Fehlende SAP Security Notes machen es Angreifern leicht SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht  Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.  Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist? Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht  Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.  Angreifer fokussieren sich auf bekannte Lücken. Lücken in nicht verwendeten Anwendungen werden nicht gepatcht  Dem Angreifer ist es egal ob SIE die Anwendung brauchen.  Er wird immer die einfachste und mächtigste Lücke ausnutzen.
  16. 16. 16 Demo: Benutzer in J2EE per CTC Service anlegen Lücken im J2EE CTC Framework  CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden  Beispiel: Anlage eine neuen J2EE Administrators
  17. 17. 4. Mythos Hacker kennen sich mit SAP nicht aus
  18. 18. 18 Verteilung der SAP Security Notes  Betrachtung der letzten 12 Monate  Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen? Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
  19. 19. 19 Google: SAP SECURITY EXPLOITS Google: SAP HACKING Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
  20. 20. 20 Standardvorgehen von Hackern: „Directory Traversal“. Geht auch bei SAP Systemen Schutz durch geeignete Validierungsfunktionen  SAP note 1497003 (“Potential directory traversals in applications”)  Funktion (FILE_VALIDATE_NAME) Demo: Auslesen/Überschreiben von Dateien
  21. 21. 5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns
  22. 22. 22 ... der Kunde  Nicht der Hersteller (modulo Fahrlässigkeit)  Nicht der Hoster / Outsourcer Wie geht SAP Sicherheit?  Viele, viele Leitfäden  Unzählige Tools für Administratoren / Entwickler  Hohe Komplexität! Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !  System Hardening planen und umsetzen  SAP Systeme gesamtheitlich sehen  Audits und Pen Tests ausführen Verantwortlich für die Sicherheit ist immer ...,
  23. 23. Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html Ralf Kempf ralf.kempf@akquinet.de

×