Новое в анализе SAP с использованием MaxPatrol Дмитрий Гуцко Руководитель группы анализа безопасности бизнес-систем Positive Technologies

План вебинара: Часть I Транспорты при сканировании SAP Полномочия учетных записей Часть II Настройка профиля сканирования Особенности режимов сканирования Часть III Разбор ошибок при сканировании SAP Часть IV Ключевые особенности MaxPatrol

Часть I Транспорты MaxPatrol при сканировании SAP

Транспорты MaxPatrol для SAP SAP RFC (Основной транспорт) + Высокая скорость работы + Не используем FM собственной разработки - Не всю информацию можем получить из системы SAP DIAG + Можем получить любую информацию - Низкая скорость работы, возможны ошибки - Необходимо включить GUI скриптинг Транспорт ОС Windows (RPC, WMI) + Может найти несколько SAP систем на одном узле + Быстрая скорость при работе с файлами - Мало информации

Транспорты MaxPatrol для SAP Транспорты ОС *nix (SSH) + Может найти несколько SAP систем на одном узле + Быстрая скорость при работе с файлами - Мало информации Транспорт БД Oracle + Позволяет сканировать одновременно все клиенты на одном сервере приложения + Быстрая скорость при работе с таблицами - Не всю информацию можем получить из системы Транспорт Telnet ( SAP AS JAVA) - Мало информации - Небезопасный протокол

Сравнительная характеристика транспортов при сканировании SAP AS ABAP ТранспортSAP RFCSAP DIAGSAP ORASAP WINSAP NIX Подбор по словарю учетных записей в SAP ++ Одновременное сканирование всех клиентов + Обнаружение нескольких экземпляров SAP на одном хосте ++ Получение таблиц + За исключением полей в таблицах типа RAW (USR02, RSAUPROF) + + За исключением таблиц – кластеров (TDDAT, RFCDOC) Получение параметров профиля ++ +/- За исключением динамически измененяемых Получение файлов++ + Скорость работы транспорта 2 место5 место (самый медленный)1 место (самый быстрый)3-4 место Уникальные особенности транспорта Восстановление паролей от RFC соединений

Полномочия учетной записи SAP DIAG SAP RFC Объект авторизацииПолеЗначение S_TCODETCDSE16, SA38, CG3Y S_GUIACTVT61 S_TABU_DIS DICBERCLS&NC&, SA, SC, SS, SUSR ACTVT03 S_PROGRAMP_ACTIONSUBMIT P_GROUPA S_ADMI_FCD AUDD S_DATASETACTVT33 FILENAME* PROGRAMSAPLC13Z Объект авторизацииПолеЗначение S_RFCACTVT16 RFC_TYPEFUGR RFC_NAME SPFL, SDTX, SRFC, SYST, RFC1, SDIFRUNTIME, PERF_TRA_DIA, DX_FILE, RFCPING S_TABU_DIS DICBERCLS&NC&, SA, SC, SS, SUSR ACTVT03 S_DX_MAINTCD ACTVT03 S_DATASETACTVT33 FILENAME* PROGRAMSAPLDX_FILE

Часть II Настройка профиля сканирования

Настройки профиля. Режимы сканирования. Pentest + Для проведения сканирования не требуются учетные записи + Обнаружение сервисов SAP. Подбор клиентов сервера приложений. + Подбор паролей учетных записей по словарю (учетные записи при этом могут блокироваться) + Восстановление учетной записи в БД Oracle - Мало информации

Настройки профиля. Режимы сканирования. Audit + Обнаружение уязвимостей связанных с настройкой + Безопасный подбор паролей учетных записей по словарю + Обнаружение не установленных SAP security notes + Сбор данных по инвентаризации. Возможность строить дифференциальные отчеты по изменениям в системе. + Акцент на критичных уязвимостях. Степень критичности можно оценить с помощью статистических данных - Для проведения сканирования необходимы учетные записи

Настройки профиля. Режимы сканирования. Compliance + Проверка соответствия заданной политике + Возможность создавать свои собственные контроли на основе шаблонов + Возможность переопределения контролей - Долгое время сканирования

Настройки профиля. Режим сканирования.

Настройка учетных записей для транспортов

Настройки профиля. Дополнительные настройки. Отключение ненужных транспортов

Настройки профиля. Дополнительные настройки.

Разбор ошибок сканирования

Детект SAP прошел неуспешно

Разбор ошибок сканирования Детект SAP прошел неуспешно

Разбор ошибок сканирования Детект SAP прошел неуспешно

Разбор ошибок сканирования Определение ошибок по лог файлам Включение логирования

Разбор ошибок сканирования Определение ошибок по лог файлам Включение логирования

Разбор ошибок сканирования Определение ошибок по лог файлам Поиск в лог-файле момента выполнение скрипта SAP.sap_ecc_addfirststagesoft_detection

Разбор ошибок сканирования Детект SAP прошел успешно

Разбор ошибок сканирования Детект SAP прошел успешно

Ключевые особенности MaxPatrol при сканировании SAP систем

1. Подбор паролей учетных записей Возможность подбора в режиме Audit слабых паролей учетных записей SAP по словарю Поддержка всех алгоритмов хэширования SAP Учетные записи при подборе паролей не блокируются Ассоциация найденных учетных записей со статусом учетной записи Ассоциация найденных учетных записей с расширенными привилегиями в системе

1. Подбор паролей учетных записей

2. Подбор паролей учетных записей Возможность подбора в режиме Pentest слабых паролей учетных записей SAP по словарю Возможность подбора через протоколы SAP DIAG и SAP RFC Возможность создавать свои справочники

2. Подбор паролей учетных записей

3. Восстановление паролей RFC Возможность восстановления в режиме Audit данных аутентификации в другие SAP системы, заданные в RFC соединениях Восстанавливаются пароли любой сложности Отслеживание потенциальных возможностей злоумышленника (общая рекомендация: использовать трастовые отношения) *Необходимо использовать транспорт БД (Oracle)

3. Восстановление паролей RFC

4. Сканирование SAP с использованием транспорта БД Возможность сканирования SAP в режимах Audit, Compliance с использованием учетной записи в БД Oracle Увеличение скорости сканирования (в среднем сканирование всей системы занимает 5-10 минут) Сканирование всех клиент(мандант) SAP за одно сканирование в режиме Audit Снижение затрат по поддержке задач сканирования и учетных записей Получение информации, которая может быть получена только через транспорт БД (например восстановление паролей RFC соединений) *Список поддерживаемых БД: Oracle

4. Сканирование SAP с использованием транспорта БД

5. Remote OS Authentication Возможность восстановления в режиме Pentest данных аутентификации, используемых SAP при сопряжении с БД Oracle О системе необходимо знать только порт Oracle Listener и SID В совокупности с возможностью сканирования SAP через БД, получаем возможность проведения полного анализа системы, не обладая данными аутентификации в SAP системе

5. Remote OS Authentication

6. Поддержка старых версий Возможность сканирования в режимах Audit, Compliance старых версий SAP AS ABAP SAP NetWeaver, начиная с версии 6.4 SAP R\3, начиная с версии 4.6B SAP R\3 Enterprise 4.7 AS JAVA SAP NetWeaver, начиная с версии 7.0

6. Поддержка старых версий

7. Поддержка бизнес модулей Возможность сканирования не только платформ SAP AS ABAP/AS JAVA, но и специализированных бизнес модулей SAP HCM SAP MM *SAP SRM, CRM, MDM – Roadmap

8. Отображение пути авторизации Отображение в результатах Compliance пути получения пользователем тех или иных полномочий в системе Сокращение времени администраторов на анализ привилегий пользователей Отображение всех возможных путей авторизации Поддержка многочисленных вложений профилей и ролей Поддержка ссылочных учетных записей (Reference user)

8. Отображение пути авторизации

9. Отображение статистики Отображение в результатах Audit статистической информации по найденным пользователям Статистика по расширенным полномочиям пользователей Статистика по пользователям Статистика по парольной политике

9. Отображение статистики

10. Анализ инфраструктуры Поддержка сканирования в режимах Audit, Compliance: ОС, БД, Сетевого оборудования СУБД MSSQL 2000/2005/2008/2012 Oracle 8/9/10/11 DB2 8/9 ОС Windows 2003/2008 Linux RedHat/Suse Unix Solaris/AIX/HP-UX Сетевое оборудование Cisco, Juniper, Nortel, Alcatel

11. Контроль изменений Отслеживание изменений в SAP через систему дифференциальных отчетов Вся информация инвентаризации нормализована Отслеживание созданных пользователей, новых назначений ролей и профилей Отслеживание изменений параметров конфигурации системы (например параметров профиля) Отслеживание новых RFC соединений Отслеживание изменений в парольной политике

11. Контроль изменений

12. Segregation of duties Выявление конфликтов в полномочиях пользователей и ролей Возможность использования стандартных матриц SOD для SAP Basis, SAP MM, SAP HCM Возможность собственного переопределения матрицы полномочий Использование внутри матрицы сущностей: Действие, Функция, Правило SOD Возможность задания привилегий не только на языке транзакций, но и объектов авторизации

12. Segregation of duties