Вчера имел честь посетить презентацию обновленной системы управления уязвимостей ERP (ERPScan Security Monitoring Suite - далее ESMS) и нового продукта от ERPScan SAP Security Intelligence. Презентация была "хардкорная" - насыщенная цифрами и фактами (и классическими пентестерскими попытками слегка попугать аудиторию), и в отличие от других вендоров рассчитанная на смешанную аудиторию - прессу и представителей заказчиков, среди которых обнаружилось аж 3 человека из моей "прошлой жизни" (привет, коллеги!).
Перед тем как перейдем к деталям, опишу мое видение экосистемы DS - вместе продукты составляют первую версию центра, контролирующего почти все возможные вопросы ИБ приложений - уязвимости платформы, аудит кода, выявление внешних атак и аномального поведения пользователей.
Но вернемся к мероприятию. Отвечая на вопрос - зачем очередной сервер безопасности (пусть и гораздо более продвинутый чем большинство отечественных) Дмитрий Частухин привел несколько забавных примеров:
ESMS приобрел три аналитические возможности:
А так же 4 возможности по закрытию уязвимостей:
В моей практике директора по ИБ склонны покупать универсальные решения "все в одном" (не только SAP-ориентированные), поэтому решению необходимы другие драйверы, в первую очередь внутренний контроль и директора по ИБ бизнес-дивизионов (для которых традиционные общекорпоративные ИБ-головняки рисков ИБ инфраструктуры и др. менее актуальны). Считаю, что эту проблему можно решить добавлением популярного в мире решения по документообороту, например, Documentum. Одновременно можно будет взять под контроль риски конфиденциального документооборота.
Однако основным представленным продуктом был ERPScan SAP Security Intelligence (далее - ESSI), выполняющий целых три функции - помощь SIEM в сборе событий с SAP, аналитика событий SAP (add-on над SIEM) и общая контрольная панель для ESMS и самого себя.
Для помощи SIEM был разработан сенсор, встающий между SAP и SIEM. Аналитические возможности SIEM довольно интересны:
Перед тем как перейдем к деталям, опишу мое видение экосистемы DS - вместе продукты составляют первую версию центра, контролирующего почти все возможные вопросы ИБ приложений - уязвимости платформы, аудит кода, выявление внешних атак и аномального поведения пользователей.
Но вернемся к мероприятию. Отвечая на вопрос - зачем очередной сервер безопасности (пусть и гораздо более продвинутый чем большинство отечественных) Дмитрий Частухин привел несколько забавных примеров:
- У одного из клиентов SAP оказался скачанный с торрента и переведенный в промышленную эксплуатацию (!).
- Уязвимости находились везде - от внедрений крутыми консалтинговыми конторами до пресловутого "торрентового" SAP.
- Всего в SAP нашли больше 3 000 уязвимостей.
- Ландшафт системы по умолчанию содержит десятки сервисов с уязвимостями конфигурации (нужен трудоемкий харденинг).
- Даже в рекомендуемом SAP средстве защиты - SAP Router были найдены уязвимости (т.е. ландшафты были под угрозой из Интернет).
ESMS приобрел три аналитические возможности:
- Анализ трендов и метрик.
- Продвинутая корреляция (анализ рисков уязвимостей в зависимости от других уязвимостей, например, кол-ва юзеров).
- Карта угроз (включая карты ландшафта и соединений сап), что позволяет понять критический путь атаки, доступность систем для атак из других - т.н. security dependencies.
А так же 4 возможности по закрытию уязвимостей:
- Интеграция с ITSM, SIEM, GRC - для передачи кейсов.
- Генерация безопасных настроек для профилей SAP (функция антипод генерации эксплойтов WAF Positive Technologies).
- Авто генерация заплаток для кода.
- Виртуальный патчинг - генерация сигнатур уязвимостей в т.ч. уникальных от исследователей дс с последующей интеграцией с активными средствами - ips, waf.
В моей практике директора по ИБ склонны покупать универсальные решения "все в одном" (не только SAP-ориентированные), поэтому решению необходимы другие драйверы, в первую очередь внутренний контроль и директора по ИБ бизнес-дивизионов (для которых традиционные общекорпоративные ИБ-головняки рисков ИБ инфраструктуры и др. менее актуальны). Считаю, что эту проблему можно решить добавлением популярного в мире решения по документообороту, например, Documentum. Одновременно можно будет взять под контроль риски конфиденциального документооборота.
Однако основным представленным продуктом был ERPScan SAP Security Intelligence (далее - ESSI), выполняющий целых три функции - помощь SIEM в сборе событий с SAP, аналитика событий SAP (add-on над SIEM) и общая контрольная панель для ESMS и самого себя.
Для помощи SIEM был разработан сенсор, встающий между SAP и SIEM. Аналитические возможности SIEM довольно интересны:
- Отслеживание и оповещение о внешних атаках.
- Мониторинг бизнес процессов - отслеживание действий суперпользователей в тч real-time SoD - выявление аномального поведения (ряд правил от транзакций до технических запросов RFC etc).
- Аналитика по уязвимостям.
Архитектура экосистемы в целом ниже, а как бывший руководитель проекта по развитию SIEM с полуживым SAP-коннектором склонен согласиться что потребность в продукте есть, другой вопрос что в России безопасностью SAP занимаются мало - мало стимулов. Инертные службы внутреннего контроля, отрезанный доступ на внешние финансовые рынки, финансовые сложности компаний не дают пока набрать необходимую для массового применения решения в стране критическую массу. Однако заявленные 50 заказчиков за рубежом вызывают доверие, и на западном рынке значимые перспективы у решения однозначно есть.
Комментариев нет:
Отправить комментарий