четверг, 8 октября 2015 г.

Новый продукт от Digital Security (DS) - SAP Security Intelligence

    Вчера имел честь посетить презентацию обновленной системы управления уязвимостей ERP (ERPScan Security Monitoring Suite - далее ESMS) и нового продукта от ERPScan SAP Security Intelligence. Презентация была "хардкорная" - насыщенная цифрами и фактами (и классическими пентестерскими попытками слегка попугать аудиторию), и в отличие от других вендоров рассчитанная на смешанную аудиторию - прессу и представителей заказчиков, среди которых обнаружилось аж 3 человека из моей "прошлой жизни" (привет, коллеги!).

    Перед тем как перейдем к деталям, опишу мое видение экосистемы DS - вместе продукты составляют первую версию центра, контролирующего почти все возможные вопросы ИБ приложений - уязвимости платформы, аудит кода, выявление внешних атак и аномального поведения пользователей.
    Но вернемся к мероприятию. Отвечая на вопрос - зачем очередной сервер безопасности (пусть и гораздо более продвинутый чем большинство отечественных) Дмитрий Частухин привел несколько забавных примеров:

  • У одного из клиентов SAP оказался скачанный с торрента и переведенный в промышленную эксплуатацию (!).
  • Уязвимости находились везде - от внедрений крутыми консалтинговыми конторами до пресловутого "торрентового" SAP.
  • Всего в SAP нашли больше 3 000 уязвимостей.
  • Ландшафт системы по умолчанию содержит десятки сервисов с уязвимостями конфигурации (нужен трудоемкий харденинг).
  • Даже в рекомендуемом SAP средстве защиты - SAP Router были найдены уязвимости (т.е. ландшафты были под угрозой из Интернет).

    ESMS приобрел три аналитические возможности:

  • Анализ трендов и метрик.
  • Продвинутая корреляция (анализ рисков уязвимостей в зависимости от других уязвимостей, например, кол-ва юзеров).
  • Карта угроз (включая карты ландшафта и соединений сап), что позволяет понять критический путь атаки, доступность систем для атак из других - т.н. security dependencies.

    А так же 4 возможности по закрытию уязвимостей:
  • Интеграция с ITSM, SIEM, GRC - для передачи кейсов.
  • Генерация безопасных настроек для профилей SAP (функция антипод генерации эксплойтов WAF Positive Technologies).
  • Авто генерация заплаток для кода.
  • Виртуальный патчинг - генерация сигнатур уязвимостей в т.ч. уникальных от исследователей дс с последующей интеграцией с активными средствами - ips, waf.
    В сухом остатке видно попытку помочь не просто найти уязвимости но повысить уровень безопасности клиентских систем, в том числе через покрытие полного цикла управления уязвимостями - "найти-оценить риск-устранить риск-провести мониторинг устранения".
    В моей практике директора по ИБ склонны покупать универсальные решения "все в одном" (не только SAP-ориентированные), поэтому решению необходимы другие драйверы, в первую очередь внутренний контроль и директора по ИБ бизнес-дивизионов (для которых традиционные общекорпоративные ИБ-головняки рисков ИБ инфраструктуры и др. менее актуальны). Считаю, что эту проблему можно решить добавлением популярного в мире решения по документообороту, например, Documentum. Одновременно можно будет взять под контроль риски конфиденциального документооборота.
    Однако основным представленным продуктом был ERPScan SAP Security Intelligence (далее - ESSI), выполняющий целых три функции - помощь SIEM в сборе событий с SAP, аналитика событий SAP (add-on над SIEM) и общая контрольная панель для ESMS и самого себя.
    Для помощи SIEM был разработан сенсор, встающий между SAP и SIEM. Аналитические возможности SIEM довольно интересны:  
  • Отслеживание и оповещение о внешних атаках.
  • Мониторинг бизнес процессов - отслеживание действий суперпользователей в тч real-time SoD - выявление аномального поведения (ряд правил от транзакций до технических запросов RFC etc).
  • Аналитика по уязвимостям.
    Архитектура экосистемы в целом ниже, а как бывший руководитель проекта по развитию SIEM с полуживым SAP-коннектором склонен согласиться что потребность в продукте есть, другой вопрос что в России безопасностью SAP занимаются мало - мало стимулов. Инертные службы внутреннего контроля,  отрезанный доступ на внешние финансовые рынки, финансовые сложности компаний не дают пока набрать необходимую для массового применения решения в стране критическую массу. Однако заявленные 50 заказчиков за рубежом вызывают доверие, и на западном рынке значимые перспективы у решения однозначно есть.    

Комментариев нет:

Отправить комментарий