Licencja ERPScan Security Monitoring Suite w Kronopol

PBSG dostarczyła do Kronopol będącego częścią holdingu Swiss Krono Group (Ernst Kaindl) licencje ERPScan Security Monitoring Suite oraz przeprowadziła kompleksowy audyt bezpieczeństwa w tym kodu ABAP dla systemu SAP.

Przeprowadzając prace związane z audytem bezpieczeństwa systemu SAP konsultanci korzystali przede wszystkim z doświadczenia własnego zdobytego podczas realizacji wielu prac dla naszych klientów, jak i doświadczenia ekspertów firmy ERPScan. Realizując prace Konsultanci wyposażeni w sprzęt przenośny z aplikacją ERPScan Security Monitoring Suite, z pomocą administratorów systemu SAP Klienta dokonali połączenia aplikacji ERPScan z systemem SAP oraz wykonali wcześniej zaplanowane prace.

Na potrzeby połączenia aplikacji ERPScan z systemem SAP wymagane było stworzenie w systemie SAP dwóch użytkowników z określonymi uprawnieniami. Wszystkie prace wykonywane były w sposób nieinwazyjny względem systemów Klienta.

Przeprowadzając prace związane z wdrożeniem rozwiązania ERPScan Security Monitoring Suite w infrastrukturze Klienta, konsultanci wspólnie z Klientem ustalili sposób konfiguracji systemu i dostarczyli do użytku, w czasie określonym licencją skonfigurowany już pod klienta system wirtualny.

Podczas prowadzenia wszystkich prac konsultanci PBSG brali pod uwagę obowiązujące standardy i dobre praktyki bezpieczeństwa IT. Na każdym etapie Konsultanci postępowali według obowiązujących w Kronopol standardów biorąc pod uwagę dostępność, integralność oraz poufność przetwarzanych informacji przez testowane systemy.

Do przeprowadzenia badania użyto  dostarczonej aplikacji ERPScan

Raport z przeprowadzonych prac zawierał:

Moduł Audyt bezpieczeństwa.

Moduł ten składał się z zestawu trzech poniżej opisanych usług, które w sumie sprawdzają ponad 7000 obszarów kontrolnych.

Analiza konfiguracji SAP

  • Autentykacja – informacje na temat polityki haseł, ustawień autoryzacji, listy użytkowników przypisanych według różnych kryteriów jak ostatni czas logowania, data zmiany hasła, itp.)
  • Kontrola dostępu – informacje na temat dostępu krytycznego do webowych serwisów, tabel oraz innych obiektów, wskazane zostaną zainstalowane niebezpieczne aplikacje, testowane transakcje itp.)
  • Szyfrowanie – ustawienia SSL oraz SNC między równymi komponentami systemu
  • Monitorowanie – ustawienia bezpieczeństwa analizy audytu, audytu systemu
  • Podatna konfiguracja – pozostałe ustawienia bezpieczeństwa jak SAP Gateway, SAP Message Server, SAP ITS, SAP GUI, SAP Web Dispatcher, SAP MMC, SAP Host Control, SAP Portal

Analiza krytycznych uprawnień użytkowników – w tej części zawarte został informacje dotyczące uprawnień przywilejowanych użytkowników. Celem tej analizy było zmniejszenie ryzyka wykorzystania zbyt obszernie nadanych uprawnień. Wykaz informacji został podzielony i zawierał użytkowników:

  • z krytycznymi profilami
  • z krytycznymi rolami
  • z dostępem bezpośrednim do tabel
  • z dostępem developerskim
  • z uprawnieniami użytkownika zarządzającego
  • z uprawnieniami systemowymi
  • z uprawnieniami do modułu HR
  • z krytycznymi rolami do CRM
  • informacje o krytycznych serwisach do których nadany jest dostęp anonimowy, np.:
    • J2EE aplikacja webowa, serwisy webowe, JSP
    • Serwis webowy ABAP, jak: BSP, ICM, CRM
    • Portale: iViews, KM dokumenty
    • MMC konsola
    • SAP Host Control

Analiza luk i zagrożeń – w tej sekcji zawarte zostały następujące informacje:

  • Aktualizacje – przedstawione informacje na temat zainstalowanych komponentów, ich wersji, porównanie z ostatnimi dostępnymi poprawkami
  • Noty bezpieczeństwa – informacje dotyczące ponad 2700 not wystawionych przez SAP, które nie zostały zaimplementowane w systemie z podaniem takich informacji jak: data wystawienia noty, czego nota dotyczy, opis, skala ryzyka według producenta SAP, typ ryzyka, poziom krytyczności według ERPScan, nazwa exploit,’u, jeżeli jest dostępny, rodzaj zagrożenia, typ podatności, sposób usunięcia podatności
  • Poziom skuteczności – sprawdzenie podatności IDS, WAF, Proxy

Moduł oceny bezpieczeństwa kodu ABAP.

Moduł oceny pozwolił sprawdzić zagrożenia, podatności i błędy programistyczne, programów pisanych w kodzie ABAP. Sprawdzano m.in. czy napisany kod umożliwia osobom nieautoryzowanym otrzymać dostęp do krytycznych informacji. Wykorzystując funkcjonalność ERPScan konsultanci sprawdzili 65 potencjalnych podatności, do których należą między innymi:

  • Tylne wejścia (Backdoors), np.:
    • Zastosowane nazwy użytkowników w kodzie źródłowym, które pozwalają użytkownikom otrzymanie pewnych funkcjonalności bez odpowiedniego dostępu do tych funkcji,
    • Połączenia to krytycznych transakcji, raportów, funkcji RFC, tabel bez autoryzacji, itp.
  • Testy wydajnościowe, np.:
    • Stosowanie nieograniczonych cyklów i zapytań typu ‘SELECT *’
  • Nawiązywane połączenia, np.:
    • Odwołania do funkcji jądra systemu, które są zabronione, połączenia z krytycznymi transakcjami bez wcześniejszej autoryzacji
  • Generowane zapytania SQL, np.:
    • Różne zapytania wywołujące atak SQL Injection, o Użycie przestarzałych zapytań SQL
  • Dostępy do plików systemowych, np.:
    • Funkcje odwołujące się do plików systemu, których parametry nie są filtrowane, próby odczytania plików systemowych bądź użytkownika,

Informacja o Kliencie

Kronopol Sp. z o.o. jest częścią holdingu Swiss Krono Group (Ernst Kaindl), światowego lidera w branży produktów drewnopochodnych.

Spółka powstała w 1994 roku w wyniku przejęcia przez holding Państwowych Zakładów Płyt Wiórowych. Podpisanie 7 stycznia aktu notarialnego dało początek nowej rzeczywistości.

Szwajcarski inwestor zapewniając wielomilionowe nakłady, szybko zmodernizował park maszynowy oraz technologię.

Od początku istnienia Kronopol inwestuje w rozwój produkcji wyrobów uszlachetnionych, rozwijając park pras do laminowania, postformowania czy formatyzowania. Wraz z powiększaniem oferty produktowej rozbudowaliśmy sieć dystrybucji, zarówno w Polsce, jak i na rynkach zagranicznych.

Dzisiaj Kronopol eksportuje swoje produkty do 50 krajów na wszystkich kontynentach.