SafeERP

Программное средство анализа и контроля защищенности SAP-систем

Заполните форму обратной связи для запроса демонстрации

Программное средство SafeERP предназначено для решения задач информационной безопасности, касающихся защиты информационных систем. Программные решения средств защиты информации наиболее актуальны для компаний, использующих информационные системы как программное обеспечение для реализации своих бизнес-стратегий.

Функции

Анализ кода

Выявление небезопасного состояния программного кода

Перечень потенциально небезопасных конструкций

Code Security

Анализ защищенности

Выявление небезопасного состояния настроек программного обеспечения и средств защиты

Перечень потенциально небезопасных настроек

Platform Security

Контроль целостности программных объектов

Выявление изменений контрольных сумм критичных программных объектов

Оперативная информация об изменении критичных программных объектов

Platform Security

Контроль критичных программных объектов

Выявление случаев доступа к критичным программным объектам, отнесенным к информации ограниченного доступа

Оперативная информация (индикация событий) о наличии доступа к критичным программным объектам

Platform Security

Анализ транспортных запросов

Выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы

Перечень потенциально небезопасных конструкций

Code Security

Автоматизация процесса управления безопасностью

Применение программных алгоритмов для автоматизации механизмов анализа и контроля защищенности

Анализ и контроль защищенности в режиме реального времени или по заданному расписанию, отчеты и сравнительный анализа итераций проверок

SafeERP

Модули SafeERP *:

Platform Security — анализ и контроль безопасности настроек программного обеспечения и средств защиты, контроль целостности программных объектов информационных систем SAP NetWeaver на ABAP-стеке, SAP NetWeaver на Java-стеке, SAP Business Objects, SAP HANA.
Code Security — анализ безопасности программного кода ABAP информационных систем SAP NetWeaver на ABAP-стеке (анализ кода JavaScript и 1С в разработке).

* Версия SafeERP Security Suite включает в себя оба модуля.

Интеграция

Интеграция SafeERP в проверяемые информационные системы осуществляется с помощью программных дополнений:

Серверная часть

Программное дополнение для установки на централизованную систему настройки программного средства, осуществляющее управление сбором данных с проверяемых систем, хранение эталонных значений проверяемых параметров и формирование отчетов

Клиентская часть

Программное дополнение для установки на проверяемую систему, осуществляющее сбор и подготовку данных, передаваемых на сервер управления

Ознакомиться со схемой взаимодействия программных дополнений.

Применение

Информационные системы хранят и обрабатывают конфиденциальные и важные для бизнеса данные, являются платформами для автоматизации и повышения эффективности процессов управления компаниями. Результатом их функционирования становятся документы, информационные массивы, базы данных и информационные услуги. Для предотвращения нарастающих угроз в информационной сфере к информационным системам должны применяться актуальные механизмы защиты.

Применение SafeERP позволяет автоматизировать сбор и обработку защищаемых данных, оптимизировать трудозатраты на мониторинг и анализ событий информационной безопасности.

Преимущества SafeERP

отечественный продукт;
интерфейс и описание проверок на русском языке;
проверка программного кода без выгрузки из информационных систем;
пополняемая база проверок.

Актуальная версия продукта SafeERP: 4.7.8

Если у вас есть вопросы по продукту, пожалуйста, обратитесь к нашим специалистам.

Platform Security

Программный модуль Platform Security предназначен для выявления небезопасного состояния настроек программного обеспечения и средств защиты, контроля целостности программных объектов и доступа к критичным программным объектам информационных систем на платформах SAP NetWeaver, SAP Business Objects, SAP HANA.

Функции

Анализ защищенности

Выявление небезопасного состояния настроек программного обеспечения и средств защиты

Перечень потенциально небезопасных конструкций

Контроль целостности программных объектов

Выявление изменений контрольных сумм критичных программных объектов

Оперативная информация об изменении критичных программных объектов

Контроль критичных программных объектов

Выявление случаев доступа к критичным программным объектам, отнесенным к информации ограниченного доступа

Оперативная информация (индикация событий) о наличии доступа к критичным программным объектам

Анализ защищенности* реализуется путем сравнения значений проверяемых настроек ПО с эталонными значениями в шаблонах проверочных сценариев.
Контроль целостности реализуется путем регистрации событий, связанных с изменением контрольных сумм программных объектов, поставленным на контроль. Функция использует метод периодического вычисления контрольных сумм программных объектов с использованием алгоритма MD5 или SHA-1.
Контроль доступа к критичным объектам (информации ограниченного доступа) реализуется путем регистрации событий, связанных с доступом к критичным объектам, поставленным на контроль.

*Анализ защищенности настроек программного обеспечения и средств защиты можно осуществлять по следующим группам проверок:

Ограничения

Анализ защищенности и контроль целостности программных объектов осуществляется для систем на платформах SAP NetWeaver на ABAP-стеке и Java-стеке не ниже версии 7.0, SAP Business Objects не ниже версии 4.1, SAP HANA не ниже версии 1.0.
Контроль доступа к критичным объектам (информации ограниченного доступа) осуществляется только для систем на платформе SAP NetWeaver ABAP.

Интеграция

Интеграция программного модуля Platform Security в проверяемые информационные системы осуществляется с помощью программных дополнений серверной и клиентской части. Ознакомиться со схемой взаимодействия программных дополнений.

Применение

Основные причины инцидентов ИБ — небезопасные настройки программного обеспечения и неконтролируемый доступ к критичным объектам, приводящие к уязвимостям систем и утечке конфиденциальной информации. Для предотвращения потенциальных угроз, связанных с несанкционированным доступом к системным данным, в информационных системах необходимо применять актуальные механизмы анализа защищенности и контроля доступа.

Применение программного модуля Platform Security, как автоматизированного средства сбора и обработки данных, позволит снизить издержки на проверку защищенности доступа к данным информационных систем и минимизировать риски их компрометации.

Преимущества

соответствие стандартам и требованиям ИБ (ISACA, DSAG, PCI DSS, ISO27001:2013, ФСТЭК России);
быстрая интеграция, отсутствие инфраструктурных затрат (сертифицированный SAP Add-On);
интерфейс и описание проверок на русском языке;
детальное описание проверок и возможных угроз;
возможность создания индивидуальных профилей проверок;
широкие возможности представления отчетов (технические для разработчиков и наглядные для руководства);
пополняемая база проверок.

Code Security

Программный модуль Code Security предназначен для выявления небезопасного состояния программного кода ABAP в информационных системах на платформе SAP NetWeaver.

Функции

Анализ кода

Выявление небезопасного состояния программного кода

Перечень потенциально небезопасных конструкций

Анализ транспортных запросов

Выявление небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы

Перечень потенциально небезопасных конструкций

Программный модуль позволяет осуществлять анализ ABAP-кода непосредственно в процессах жизненного цикла программного обеспечения:

Разработка

Выявление небезопасного состояния программного кода на этапе его разработки

Перечень потенциально небезопасных конструкций

Тестирование

Выявление небезопасного состояния программного кода на этапе его квалификационного тестирования

Перечень потенциально небезопасных конструкций

Реализация/эксплуатация

Выявление небезопасного состояния программного кода на этапе инсталляции программного обеспечения или его эксплуатации

Перечень потенциально небезопасных конструкций

Работа с транспортными запросами

Выявление небезопасного состояния программного кода при переносе его по ландшафту системы

Перечень потенциально небезопасных конструкций. Блокировка переноса потенциально небезопасного кода разработки

Анализа программного кода реализуется путем сравнения проверяемого массива данных с шаблонами небезопасных конструкций программного кода, содержащихся в проверочных сценариях.

Code Security позволяет автоматизировать процесс анализа программного кода и выявить в нем небезопасные конструкции по следующим категориям:

Безопасность

Реализовано более 100 сценариев, позволяющих осуществлять проверки программного кода на потенциально небезопасные языковые конструкции:

вызовы методов ABAP Kernel;
динамическое выполнение команд;
динамические вызовы ABAP-кода;
использование команд DYNPRO;
использование таблиц базы данных без авторизационных групп;
критичные системные вызовы;
критичный доступ к операционной системе;
критичные запросы к системе управления базой данных;
межсайтовый скриптинг;
отсутствие проверки полномочий;
программные закладки;
явно заданные проверки;
SQL–инъекции и др.

Производительность

Реализовано более 75 сценариев, позволяющих осуществлять проверки программного кода на языковые конструкции, которые могут снизить его быстродействие:

неэффективное использование полей индекса таблиц;
неэффективное использование команд внутри циклов;
неэффективные запросы к базе данных;
неэффективное использование памяти;
обход буферизированных таблиц и др.

Удобство сопровождения

Реализовано более 90 сценариев, позволяющих осуществлять проверки программного кода на языковые конструкции, которые ухудшают его качество:

использование текстовых объектов на разных языках;
ненадлежащее использование псевдокомментариев;
отсутствие контроля значения переменной sy-subrc после команд;
процентное соотношение код/комментарии (если количество строк комментариев в тексте кода менее 30%);
некорректное использование программных алгоритмов;
явно заданные значения объектов и др.

Интеграция

Интеграция программного модуля Code Security в проверяемые информационные системы осуществляется с помощью программных дополнений серверной и клиентской части. Ознакомиться со схемой взаимодействия программных дополнений.

Применение

Основной причиной инцидентов информационной безопасности становятся ошибки кодирования программного обеспечения, приводящие к уязвимостям программ и систем в целом. Для предотвращения потенциальных угроз, связанных с уязвимостями ПО, к информационным системам необходимо применять актуальные механизмы анализа программного кода.

Применение программного модуля Code Security, как автоматизированного средства сбора и обработки данных, позволит снизить издержки на проверку программного кода информационных систем и минимизировать риски передачи небезопасного программного обеспечения в эксплуатацию.

Преимущества

соответствие ключевым стандартам и требованиям к качеству разработки;
быстрая интеграция, отсутствие инфраструктурных затрат (сертифицированный SAP Add-On);
категоризация потенциальных уязвимостей и возможность их ранжирования;
интерфейс и описание проверок на русском языке;
детальное описание потенциальных уязвимостей с примерами эксплуатации;
проверка программного кода без выгрузки из информационной системы;
широкие возможности представления отчетов;
пополняемая база проверок.

Материалы