Компания SAP — мировой лидер рынка программных бизнес-приложений. На сегодняшний день программные решения SAP установлены более чем у 39 тысяч компаний, а пользуются ими около 12 миллионов пользователей более чем в 120 странах мира. «Хакер» узнал у SAP, как компания обеспечивает безопасность своих приложений и систем.

На вопросы отвечал Дмитрий Костров

 

Как разработчикам начать знакомиться с информацией о продуктах SAP для безопасности, о подходах и стандартах в этой экосистеме?

У SAP есть собственные учебные центры, в том числе в Москве, где можно прослушать курсы и семинары по информационной безопасности. Ежегодно мы проводим специальные мероприятия, SAP Security Days, где рассказываем про уязвимости, взломы, последние тренды в сфере информационной безопасности в понятном слушателям формате. Во время мероприятий мы говорим о специфике наших продуктов, показываем демо взломов, какие анализаторы кода используем, что представляет собой цикл разработки продуктов SAP (SAP Secure Development Cycle).
Также у нас есть образовательный портал при учебном центре и блоги на сайте sdn.sap.com для разработчиков, клиентов и партнеров. Еще один важный ресурс — support.sap.com, где регулярно публикуются SAP Notes о закрытии обнаруженных уязвимостей в продуктах вышедшими патчами.

 

Какие рекомендации по информационной безопасности вы даете клиентам?

Зачастую клиенты не понимают, как приоритизировать вопросы обеспечения информационной безопасности, о которых им рассказывают на конференциях, семинарах и прочих мероприятиях. ИБ-департаменты обеспечивают защиту информации традиционными способами, которые общеизвестны в узком кругу «безопасников». Экосистема SAP до недавнего времени была для них каким-то новым миром. Но времена меняются, и многие представители служб информационной безопасности клиентов понимают, что безопасность ландшафта SAP можно и нужно контролировать с помощью решений и сервисов вендора, в том числе продуктов SAP GRC (Governance, Risk and Compliance).

Если клиенты пользуются контрактом Premium Engagement на поддержку, то они работают напрямую с нашим консалтингом и AGS (Active Global Support). Специалисты SAP расскажут, с чего нужно начинать построение системы информационной безопасности в средах на базе SAP, помогут построить модель угроз при использовании облачных решений. Кроме того, эксперты SAP оптимизируют роли и полномочия, проводят аудит клиентского кода, делают проверку конфигураций систем на безопасность. Не секрет, что практически на всех наших решениях созданы клиентские «надстройки», которые были разработаны внутренними командами клиентов (или интеграторами), зачастую с некоторыми ошибками. Применение системы анализа кода от SAP помогает эти ошибки исправить.

 

Для чего нужен инструмент SAP GRC?

Для начала — во всех компаниях существуют риски, и ими нужно управлять. Мы определяем основные риски и далее приниматься за работу над их снижением. Мы можем создать контрольные процедуры по снижению рисков. Это решение позволяет отслеживать, чтобы бизнес-процессы шли по правилам, с соблюдением этапов согласований, без завышений лимитов и прочее. Фактически это дает возможность выявлять мошеннические и неправомерные действия. SAP GRC позволяет автоматизировать множество контрольных правил для этого.

Следующий этап — это управление рисками доступа. Допустим, у нас есть сотрудник, который начинал работать с позиции бухгалтера, затем стал старшим бухгалтером, а в итоге — директором филиала. За время работы в компании у него могли накопиться различные полномочия, которые не связаны с его текущей должностью, — здесь что-то добавили, там урезали, тут забыли убрать. В итоге у него накопился целый «хвост» полномочий, которые, например, позволяют создать запрос на закупку и самому согласовать его же или провести тендер и согласовать выбор поставщика. Потенциально это могут быть мошеннические действия.

Мы же еще на этапе согласования полномочий через SAP GRC позволяем всем причастным видеть эти риски и потенциальные опасности мошеннических действий. Далее отделы информационной и экономической безопасности, или ИТ, или руководство решают: «мы принимаем этот риск или не принимаем». В результате сотрудник не получает новые полномочия или получает, но с созданием контрольной процедуры для контроля его действий.

Также решения SAP GRC помогают работать с различными источниками данных, работать с выявленными нарушениями, проводить онлайн-проверку бизнес-процессов до уровня транзакций. Этот инструмент очень похож на автоматизацию внутренних контрольных процедур, но с возможностью интеграции с большим числом источников данных — фактически с big data, потому что внутри находится высокоскоростная база данных. Благодаря этому клиент может проводить интеграцию с внешними источниками данных, анализировать поставщиков на предмет аффилированности с сотрудниками компании.

 

Какие еще продукты для ИБ есть у SAP?

Еще один набор задач — это защита ERP и всей корпоративной сети компании. Во многих фирмах существуют SOC — Security Operation Center, где «безопасники» обычно ведут мониторинг всей безопасности, кроме ERP, потому что к ней сложно получить доступ и проанализировать события. У SAP есть решение SAP Enterprise Threat Detection, которое дает возможность собирать информацию о безопасности всех системах SAP и передавать в SOC. Или же специалисты по безопасности могут построить SOC вокруг него.

Помимо этого, еще существует инструмент CVA — Code Vulnerability Analyze для ABAP. В России часто заказчики занимаются самостоятельной разработкой на языке ABAP, и на выходе может получиться не совсем качественный код. ABAP-анализатор CVA помогает проверить его на критические уязвимости и ошибки, связанные с нарушением безопасности разработанного приложения.

Оставить мнение

Check Also

Безопасность превыше всего. 9 простых трюков, которые сделают жизнь линуксоида секьюрнее

Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества ма…