«SafeERP» получил функционал анализа кастомизированного кода АВАР

19 Декабря 2014
Помимо существующих в предыдущих версиях функций контроля целостности и регистрации событий безопасности, ПК SafeERP получил возможность анализировать кастомизированный код SAP-систем на наличие в нем уязвимостей.

Применяемый механизм анализа обнаруживает уязвимости на основе статического анализа, в котором поиск уязвимостей строится на использовании библиотеки шаблонов.

Проверки данного модуля позволяют определить источники таких уязвимостей как:

• Критичные вызовы команд ОС.
• Критичные обращения к СУБД.
• Критичные вызовы функций ядра.
• Отсутствие проверок авторизации.
• Программные закладки.

Поиск осуществляется по исходному коду SAP-системы без дополнительной выгрузки кода во внешнее средство анализа, что увеличивает безопасность и повышает скорость проведения тестов. Также возможно встраивание процесса проверки кода в транспортную систему на уровне проверки запросов.

В модуле реализовано детальное описание каждой найденной уязвимости с примерами ее эксплуатации и описанием бизнес рисков.

Новый функционал ПК SafeERP имеет возможность сохранения результатов сканирования, а также их выгрузки в виде PDF-файлов для руководства и XLS-файлов для взаимодействия с разработчиками кода.

Функциональные особенности и преимущества программного комплекса SafeERP:

Быстрая интеграция
Программный комплекс SafeERP – сертифицированный SAP Add-On, что гарантирует мгновенное развертывание и использование комплекса.

Уменьшение временных и человеческих затрат на аудит кода
Встроенная база знаний позволяет анализировать код пользователям, не имеющим опыта работы с АВАР, сокращая время на подготовку специалистов для проведения аудита кода.

Значительное количество проверок
Программный комплекс использует более 100 сценариев для нахождения уязвимостей всех известных типов. База постоянно актуализируется и пополняется новыми проверками.

Категоризация уязвимостей
Позволяет выделить наиболее критичные уязвимости и определить порядок дальнейшего их устранения. Функционал детальной отчетности позволяет взаимодействовать с разработчиками на их языке.

Icon5Анализ качества разработанного кода
Программный комплекс SafeERP предоставляет механизмы превентивной оценки надежности информационной системы предприятия, еще до принятия разработанного функционала в продуктивную стадию. Применение ПК SafeERP позволяет избежать сбоев в работе, оптимизировать ресурсы предприятия. Реализованная в нем система отчетности предоставляет руководству наглядную оценку безопасности разработанного бизнес-функционала.

Примеры интерфейса модуля анализа кода ABAP:

• ALL OCCURRENCES OF SY-SYSID
Тест проверяет все вхождения системной переменной SY-SYSID. Эта переменная содержит имя системы SAP, где запускается АВАР код. Любой код, выполнение которого зависит от SY-SYSID, может обойти контроль QA (Quality Assurance – система контроля качества (тестовая система)).


• Broken AUTHORITY-CHECKS
Тест определяет использование команды проверки полномочий без последующей проверки на sy(st)-subrc.


• Exposed Kernel Calls
Команда ABAP CALL CFUNK непосредственно вызывает функции ядра. Функции, написанные на С, могут существенно повысить производительность, но не рекомендуется их использование с точки зрения безопасности. Вызов функции ядра непосредственно из пользовательской директории делает уязвимым ядро SAP C для потенциальных атак.


Программный комплекс SafeERP стал еще более надежным средством аудита информационной безопасности приложений на платформе SAP, включающим теперь анализ кастомизированного кода SAP на языке АВАР.

Комплексный подход к информационной безопасности, примененный в ПК SafeERP, позволяет добиться максимального результата в обеспечение конфиденциальности, целостности и доступности информации в SAP системах.
Модульная структура ПК SafeERP позволяет наращивать функционал постепенно – без значительных стартовых затрат.

Приобретая ПК SafeERP, вы гарантируете себе, что ваши инвестиции в SAP будут защищены современным средством защиты информации.
Кулькова Татьяна
ООО "Газинформсервис"
pr@gaz-is.ru
Узнать больше о продукте