DigitalSecurity, один из ключевых игроков мирового рынка безопасности ERP-систем, выпустила версию 2.1 ERPScan SecurityScannerforSAP, который в данный момент представляет собой единственное решение на рынке, позволяющее проводить оценку и мониторинг трех основных уровней безопасности SAP: уязвимостей платформы, ошибок в исходном коде ABAPи конфликтов полномочий. Решение было представлено публике на крупнейшей европейской конференции по безопасности в Германии – IT-SA.

«Тема безопасности SAP сейчас очень популярна. Только вдумайтесь: в 2012 году на технических конференциях запланировано более 30 докладов об атаках на SAP, тогда как в 2006 был всего один такой доклад. Под такие инструменты, как Metasploit, уже разработаны модули для эксплуатации уязвимостей в SAP. Все больше и больше исследователей и компаний осваивают эту область. Однако до сих пор единого решения для автоматизации всех проверок безопасности SAP не существовало. Причина заключалась в том, что пен-тестеры, как правило, обращают внимание на уязвимости, а консультанты – на организационные роли. Выход ERPScan 2.1 означает революционные изменения в данном подходе. Это единое решение, содержащее все необходимые функции, так что теперь компании могут добиться максимальной безопасности своей инфраструктуры с помощью одного продукта. Таким образом, стоимость внедрения снижается, а аудит обретает завершенность», – говорит Александр Поляков, технический директор DigitalSecurity.

ERPScan для предприятий

ERPScanразработан специально для установки в крупных корпоративных системах с целью постоянного мониторинга множества систем SAP. Такие задачи подразумевают клиент-серверную архитектуру, которая проста в использовании и легко масштабируется под сети различного размера. ERPScan – это многопользовательская распределенная система, так что вам даже не придется пересылать отчеты коллегам: просто дайте им доступ к ERPScanс ограниченными правами, и они увидят все результаты проверок в удобном и эргономичном интерфейсе.

ERPScan для консультантов

Опыт показывает, что оценка защищенности SAP-систем обычно занимает весьма длительное время. К тому же сложность системы и большое количество различных типов инсталляций подразумевают участие специалистов их разных областей безопасности. До разработки ERPScanдля аудита безопасности SAP-системы вам потребовалось бы не меньше трех решений: одно для поиска уязвимостей и ошибок конфигурации, второе для проверки кода ABAP и третье для проверки матрицы SoD, критичных авторизаций и соответствия стандартам. Теперь же на рынке появилось решение всех этих задач в одном программном продукте. Недавно был выпущен новый модуль ERPScan, позволяющий анализировать конфликты полномочий в матрице SoD, а также проверить систему на наличие критичных авторизаций в таких областях, как HR, Revenue, Expenditure и т. п. Инструменты поиска конфликтов полномочий существовали и ранее, однако только ERPScanпозволяет консультанту работать удаленно со своего компьютера, что очень удобно для компаний, которые проводят комплексный аудит безопасности и хотели бы сократить затраты на проведение работ. Другие модули, а именно «Аудит» и «Оценка безопасности кода ABAP», также используются удаленно. В распоряжении партнеров DigitalSecurity– лучшее решение для оказания услуг по анализу безопасности с минимальными временными и трудовыми затратами.

ERPScan для каждого!

И последнее: наша система содержит более 6000 проверок на ошибки конфигурации и проблемы контроля доступа: от веб-сервисов и документов SAPPortalдо прямого доступа к таблицам и проверок критичных авторизаций. ERPScan также способен обнаружить более 300 уязвимостей, 100 уязвимостей нулевого дня и 65 различных проблем в коде ABAP.

«Мы вершим революцию в мире безопасности SAP, оставляя конкурентов далеко позади, – говорит Илья Медведовский, директор DigitalSecurity. – С одной стороны, мы разработали мощное корпоративное решение на основе веб-технологий, с использованием гибкой модели внутреннего пользователя и клиент-серверной технологии, которая значительно упрощает установку и поддержку ERPScan в крупной корпоративной сети. Систему легко масштабировать под предприятие любого размера: она предназначена для обработки огромных массивов данных о сканировании SAP-систем. С другой стороны, ERPScan прост в использовании, особенно для консультантов и пен-тестеров, даже в случае единоразовых проектов по оценке безопасности SAP”.

Те, кто не смог посетить стенд ERPScanна выставке IT-SA, могут получить подробную информацию о новой версии продукта на вебинаре 24 октября (вебинар проводится на английском языке).