Сергей Лачугин, менеджер по продукту, ООО «Газинформсервис»
Игнорирование защиты ERP-систем – роскошь, которую мало кто может себе позволить. Ущерб от использования даже одной уязвимости может быть очень и очень высоким. Исходя из соображений, что «легче предотвратить, чем устранять последствия», компания «Газинформсервис» расширила фокус при решении задач обеспечения безопасности ERP-систем, включив в него в том числе анализ и выявление уязвимостей на уровне кода разработки.
Фокус кода
По данным аналитической компании IDC безусловным лидером российского рынка ERP-систем является компания SAP SE (доля на российском рынке – 49,9%). Поддержание столь значительной позиции на рынке требует постоянного развития и, как следствие, усложнения программных продуктов вслед за потребностями бизнеса. Рост сложности решений естественным образом связан с увеличением функциональности информационных систем и роли информационных систем в развитии бизнеса. Вместе с тем цена рисков, лежащих в плоскости информационной безопасности, растет, и задачи обеспечения информационной безопасности в SAP-системах становятся все более значимыми.
Сложные и масштабные по своим размерам ландшафты SAP-систем, требующие миллионов строк кастомизированного программного кода (ABAP/4, Java), сделали очевидным необходимость пересмотреть приоритет задачи контроля кода разработки.
По статистике Газинформсервиса, полученной за годы работы в области защиты ERP-систем SAP, на 300 млн строк кода базового функционала приходится в среднем 5 млн строк кастомизированного кода. При этом в каждой 1000 строк кастомизированного кода АВАР в среднем имеется одна критичная уязвимость. И этой одной уязвимости достаточно, чтобы злоумышленник получил доступ в систему и воспользовался им в своих целях.
На сегодняшний день существует значительное количество детально описанных уязвимостей. Часть из них может иметь низкую степень критичности для заказчика в силу особенностей его информационной системы. Но гарантировать правильную оценку рисков наличия уязвимостей, да и само количество уязвимостей, без детального автоматизированного анализа кода невозможно.
К таким сложно определяемым уязвимостям можно отнести, например, уязвимости, где есть жестко запрограммированные проверки.
Использование системной переменной SY-SYSID. Эта переменная содержит имя системы SAP, где запускается АВАР код. Любой код, выполнение которого зависит от SY-SYSID, может обойти контроль в системе QA (Quality Assurance – система контроля качества (тестовая система)).
Или уязвимости, связанные с вызовом функций ядра SAP системы, когда программисты нацелены на увеличение производительности функционала и получают ее за счет безопасности.
Команда ABAP CALL CFUNK непосредственно вызывает функции ядра. Функции, написанные на С, могут существенно повысить производительность, но не рекомендуется их использование с точки зрения безопасности. Вызов функции ядра непосредственно из пользовательской директории делает уязвимым ядро SAP C для потенциальных атак.
Решение от Газинформсервиса
Компания «Газинформсервис» представляет обновленное решение для защиты систем, построенных на платформе SAP NetWeaver, – программный комплекс SafeERP (ПК SafeERP).
Помимо реализованных в ранних версиях функций контроля целостности, регистрации событий безопасности и контроля защищенности ПК SafeERP получил возможность анализировать кастомизированный код SAP-систем на наличие в нем уязвимостей.
Применяемый комплекс автоматизирует анализ кода и обнаруживает уязвимости на основе специализированной библиотеки шаблонов.
Проверки позволяют определить источники таких уязвимостей, как:
- критичные вызовы команд ОС;
- критичные обращения к СУБД;
- критичные вызовы функций ядра;
- отсутствие проверок авторизации;
- программные закладки.
Поиск осуществляется по исходному коду SAP-системы без дополнительной выгрузки кода во внешнее средство анализа, что увеличивает безопасность и повышает скорость проведения тестов. Также возможно встраивание процесса проверки кода в транспортную систему на уровне проверки запросов.
ПК SafeERP дает детальное описание каждой найденной уязвимости с примерами ее эксплуатации и описанием бизнес рисков. Сохраненные результаты сканирования можно выгрузить в формате PDF-файлов для руководства или XLS-файлов для взаимодействия с разработчиками кода.
Применение ПК SafeERP для анализа кода разработок обеспечивает требуемый уровень защиты продуктивной системы от действий злоумышленников, использующих уязвимости кода разработок в своих целях. Особую ценность здесь имеет превентивный анализ разработанного функционала SAP-системы, производимый до транспорта в продуктивную зону.
Следует отметить, что код анализируется не только на наличие в нем известных уязвимостей, но и на оптимальность с точки зрения быстродействия, что позволяет значительно ускорить время исполнения кастомизированного кода.
Функциональные особенности и преимущества программного комплекса SafeERP
- Быстрая интеграция
Программный комплекс SafeERP – сертифицированный SAP Add-On, что гарантирует мгновенное развертывание и использование комплекса.
- Уменьшение временных и человеческих затрат на анализ кода
Встроенная база знаний позволяет анализировать код пользователям, не имеющим опыта работы с АВАР, сокращая время на подготовку специалистов для проведения аудита кода.
- Значительное количество проверок
Программный комплекс использует более 100 сценариев для нахождения уязвимостей всех известных типов. База постоянно актуализируется и пополняется новыми проверками.
- Категоризация уязвимостей
Позволяет выделить наиболее критичные уязвимости и определить порядок дальнейшего их устранения. Функционал детальной отчетности позволяет взаимодействовать с разработчиками на их языке.
- Анализ качества разработанного кода
Программный комплекс SafeERP предоставляет механизмы превентивной оценки надежности информационной системы предприятия еще до принятия разработанного функционала в продуктивную стадию. Применение ПК SafeERP позволяет избежать сбоев в работе, оптимизировать ресурсы предприятия. Реализованная в нем система отчетности предоставляет руководству наглядную оценку безопасности разработанного бизнес-функционала.
Сертификация решения
Программный комплекс SafeERP – сертифицированное программное средство защиты от несанкционированного доступа к информации, реализующее функции контроля целостности, регистрации событий безопасности, контроля защищенности и анализа кода разработок для SAP-систем. Сертификат соответствия ФСТЭК России по 4 уровню НДВ и ТУ № 3191 от 08.08.2014 г.
Центр Сертификации и Интеграции SAP (SAP ICC) сертифицировал SafeERP 3.7 на совместимость с SAP NetWeaver. Сертификат соответствия SAP Certified № 26543304 от 13.11.2014 г.
Наличие указанных сертификатов дает гарантию надежной работы решения и отсутствия негативного влияния на смежные компоненты ИТ-инфраструктуры, позволяет произвести защиту информационных систем в соответствии с требованиями регулирующих органов РФ, в том числе создавать системы защиты персональных данных до 1 класса включительно.
Комплексный подход
Комплексный подход к информационной безопасности, примененный в ПК SafeERP, позволяет добиться максимального результата в обеспечении конфиденциальности, целостности и доступности информации в SAP-системах.
Функциональные возможности программного продукта дают возможность клиенту произвести безопасную настройку всего ландшафта SAP-систем, детально изучить код разработок на уязвимости и зафиксировать безопасное состояние информационных систем. После этого любые изменения в системе будут проходить контроль на соответствие корпоративной политике безопасности. Отдельный функционал занимается постоянным контролем доступа к информации ограниченного доступа, реализуя механизм защиты от утечек информации. Также стоит отметить, что программный продукт разработан на встроенном языке программирования SAP – языке АВАР/4, установка которого не требует никаких дополнительных инфраструктурных вложений.
Модульная структура ПК SafeERP позволяет наращивать функционал постепенно, без значительных стартовых затрат.
Совокупность этих возможностей делает программный комплекс SafeERP уникальным решением, обеспечивающим комплексный подход к информационной безопасности в SAP-системах на всем ландшафте заказчика, каким бы сложным он ни был.