+7 (495) 980-23-45 (*04)
edu@itsecurity.ru

Мы обучили

7 4 6 1 6
специалистов
  • Стоимость: 24 000 руб

Безопасность SAP: угрозы, уязвимости, защита

Код курса КП73, 2 дня

Статус

Авторский практический курс компании Digital Security

Аудитория

  • CISO (Chief Information Security Officer);
  • менеджеры по ИБ;
  • технические специалисты;
  • все, кому интересны вопросы безопасности SAP из крупных компаний, внедривших или планирующих внедрять SAP.

Аннотация

Развитие инфраструктуры крупных организаций в последнее время движется от децентрализованной модели к интеграции всех бизнес-процессов в единое целое. Так, если раньше в среднестатистической компании было множество серверов, включая почтовый, файловый, контроллер домена и прочие, то сейчас все эти функции интегрируются в общее бизнес-приложение. Зачастую бизнес-приложения объединяются в большие системы, называемые ERP-системами (англ. EnterpriseResourcePlanning, планирование ресурсов предприятия).

Такой подход к формированию инфраструктуры позволяет обеспечивать, с одной стороны, удобство доступа, а с другой – единую точку отказа. В бизнес-приложениях в общем и в ERP-системах в частности хранятся все критичные данные компании, начиная от финансовых отчетностей и персональных данных, заканчивая списками контрагентов и корпоративной тайной. С точки зрения и внешнего злоумышленника, и инсайдера, такая система может представлять собой идеальную мишень. При этом стоит понимать, что цель атакующего – это отнюдь не права администратора на контроллере домена.

К сожалению, в современном мире осведомленность в вопросах безопасности бизнес-приложений и ERP-систем типичного специалиста по ИБ является крайне низкой. Данный тренинг посвящён существующей ситуации в области безопасности SAP как наиболее популярной ERP-системы. Он будет безусловно полезен как для любых технических специалистов, занимающих должности в сфере бизнес-приложений в целом и обеспечения их безопасности в частности, так и для руководства департаментов и отделов менеджмента. Возможность такого широкого охвата специалистов достигается за счет обобщенного подхода к методам донесения информации на тренинге, структуре материала, а также практической части. Тренинг сформирован на доступном как для специалистов по безопасности, так и для менеджеров языке, описывающем, что представляют из себя SAP-системы, какие риски в области безопасности эти системы предполагают, а также способы и методы преодоления этих рисков.

Материал тренинга сфокусирован на технических аспектах обеспечения безопасности SAP. Он дает понимание архитектуры типичной SAP-системы и каждого ее компонента, который может подвергаться атакам. Тренинг содержит не только теоретическую базу, но и живые демонстрационные примеры, а также практические упражнения на закрытие уязвимостей в таких областях, как SAP Gateway, Message server, безопасность RFC (RemoteFunctionCall), ITS (Internet Transaction Server), ABAP code, JAVA-engine, критичные авторизации, безопасность БД, безопасность SAP GUI и многих других.

 

В результате обучения

Вы научитесь:

     
  • принципам обеспечения защиты SAP-систем и, в частности, платформы SAP NetWeaver;
  • пониманию различных уровней и компонентов защиты;
  • методике оценки безопасности SAP-систем;
  • обеспечению безопасности ролевой модели (SOD);
  • обеспечению безопасности разработки ABAP-кода;
  • оценке рисков, потенциальных и возникающих вследствие реализации различных угроз в SAP-системах;
  • использованию инструментов комплексной оценки защищенности и проверки соответствия стандартам SAP-систем;
  • анализу событий безопасности в SAP
  • использованию практических навыков.

Вы увидите:

     
  • результаты еще не публиковавшегося ежегодного отчета «Безопасность SAP в цифрах 2013» и тенденции;
  • стандарты и лучшие практики в области защиты;
  • авторскую методику ERPScan - OWASP-EAS для SAP;
  • презентацию возможностей программного продукта ERPScan Security Monitoring Suity;
  • живую демонстрацию атак.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Программа курса

Введение в SAP-системы

  • Мы должны беспокоиться?
  • История безопасности SAP
  • Текущее состояние безопасности SAP
  • Особенности атак на SAP
  • Особенности защиты SAP
  • Методологии обеспечения безопасности ERP/SAP (OWASP-EAS)

Сетевой уровень

  • Открытые порты
  • Безопасность протоколов
  • Доверенные и доверяющие системы
  • Обеспечение сетевой безопасности

Уровень операционных систем (ОС)

  • SAP-Специфические уязвимости ОС
  • Критические данные SAP в ОС
  • Из ОС в SAP
  • Из SAP в ОС
  • Обеспечение безопасности ОС

Уровень баз данных (БД)

  • Критические данные в БД
  • Атаки на БД
  • Из БД в SAP
  • Из SAP в БД
  • Обеспечение сетевой безопасности БД

Обеспечение безопасности клиентской стороны

  • Атаки на компоненты ActiveX
  • Атаки GUI scripting
  • Сбор критических данных
  • Расширенные комбинации атак и Трояны
  • Обеспечение безопасности рабочих станций (инструменты ERPScan Online)

NetWeaver Application Server ABAP

  • SAP Gateway
  • SAP Message server
  • SAP Dispatcher
  • SAP ICM
  • SAP ITS
  • SAP Router

NetWeaver Application Server JAVA

  • Visual Admin
  • Web applications
  • SAP Portal

Авторизационная модель

  • Авторизационная концепция
  • Проблемы инструментов SAP для проверок авторизации
  • Критические транзакции
  • Критические отчеты
  • Доступ к ОС
  • Доступ к таблицам
  • Разграничение полномочий (Segregation of Duties (SOD)

Обеспечение безопасности ABAP code

  • Обеспечение безопасности разработки
  • Неуместные и избыточные авторизации
  • SQL Injections в ABAP
  • Обход доступа к ОС
  • Характерные вызовы (Generic calls)
  • Backdoors

Обеспечение безопасности JAVA code

  • Обеспечение безопасности приложений (ERPScan WEBXML checker)
  • Использование API безопасности

Защита

  • Стандарты и лучшие практики в области защиты
  • Методика OWASP-EAS для SAP
  • Анализ событий безопасности в SAP
  • Презентация возможностей программного продукта ERPScan Security Monitoring Suite:
  • Режим аудита
  • Режим Pentest
  • Режим Compliance
  • Режим анализа ABAP-кода
  • Режим анализа матрицы SoD
  • Режим анализа событий безопасности
  • Результаты отчета «Безопасность SAP в цифрах 2013»

Преподаватели

Сергей Белов, аудитор в Digital Security

Аудитор ИБ, пентестер. Находил уязвимости на различных крупных сайтах: Google (http://www.google.com/about/appsecurity/hall-of-fame/distinction/), Yandex (http://company.yandex.com/security/hall-of-fame.xml), VK и других. Автор множества различных статей по безопасности в журнале «Хакер» и на ресурсе «Хабрахабр». Принимает участие в соревнованиях по компьютерной безопасности (DEFCON'2012 CTF Final, победитель Chaos Construction'2013) и в их организации (ZeroNights HackQuest). Выступал на CodeFest, Zeronights и других конференциях.

 

Дмитрий Частухин, руководитель отдела тестирования на проникновение DigitalSecurity

Является одним из ведущих специалистов по безопасности SAP и веб-приложений. Имеет официальные благодарности от SAP за обнаруженные уязвимости, а также от Yandex, Google и Vkontakte. Выступал на BlackHat USA, HackInTheBox и BruCON, ZeroNights. Активно участвует в деятельности Russian Defcon Group.

  • Код курса: КП73
  • Длительность: 2 дня
  • Стоимость: 24 000 руб

Выбрать удобную дату

Пожалуйста, подождите...