Anatomie eines SAP Penetration Tests

Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromitieren kann?

 

Vorbereitung

Der SAP-Bereich ist vielleicht der kritischste im Bereich Penetration Test. Hier laufen in der Regel alle Unternehmensprozesse bzw. alle kritischen Unternehmensprozesse. Hier muss ein mehrjähriges Verständnis für SAP-Umgebungen vorhanden sein. Im kritischen Betriebsumfeld eines professionell geführten SAP-Systems haben Berufsanfänger oder umgeschulte Quereinsteigen und Neulinge nichts zu suchen. Dazu ist alles, was in diesem Bereich stattfindet, zu kritisch und muss durch mehrjährige Erfahrung an Systemen abgesichert sein. Es ist wichtig, eine Vertrauensbasis mit allen Beteiligten aufzubauen. Ein Pen Tester ist kein Held, der alles durchbricht und dann sich feiern lässt, sondern er soll dem Kunden die Sicherheitslücken aufzeigen, die unternehmenskritisch sind. Das geht nur gemeinsam als Partner mit dem Kunden bzw. den Netzwerk-Spezialisten des Kunden

Idealerweise ist dem Pen-Test eine Risiko-Betrachtung vorangegangen, die Risiko-Cluster definiert. So kann z.B. eine Lücke in einem bestimmten Risiko Kontext extrem schwierig sein, wobei sie in einem anderen Kontext keine Rolle spielt.

Varianten des Penetration Test

Es gibt drei Varianten, die man beim Pen Test unterscheidet.

Festlegung Black Box Test

Der Pen Tester bekommt gar nichts gesagt. Er muss komplett von Außen eindringen können ohne jede Hilfe. Er darf aber sehr wohl alle Möglichkeiten ausschöpfen wie Phishing (gefälschte emails) Waterholing (gezieltes Angreifen von Fachgruppen wie SysAdmins in einem Unternehmen) oder solche Dinge wie Einschleusen von USB Sticks etc. Dies muss aber alles juristisch dokumentiert sein

Festlegung Grey Box Test

Das normale, gemeinsame Verständnis ist für einen Grey bzw. White Test vor Ort ist: Der Pen-Tester bringt einen Laptop, lässt die MAC Adresse registrieren. Der Laptop hat einen Virenscanner und definierte Software aufgespielt, die auf Wunsch dokumentiert wird. Er versucht, über die interne Infrastruktur, die zugänglich ist, die SAP-Systeme zu hacken. Dieses Szenario entspricht einem Eindringling, der von Innen kommt (SysAdmin etc) aber keinen Zugang zum SAP System selber hat.

Festlegung White Box Test

Der Pen Tester bekommt Zugang und einen Administrations-Benutzer auf dem System. Dies dient zur qualifizierten Kontrolle und Analyse des Systems. Auch qualifizierte Betrachtungen einzelner Konfigurationen können so erfolgen. Der „White Box Test“ wird üblicherweise als Nachbereitung und Verifizierung nach einem „Black Box“ oder „Grey Box“ Test gemacht.

Infrastruktur

Die Pen Tests für SAP finden normalerweise nur auf der Infrastrukturebene statt. Das heißt, die Netzwerk-Sicht und die Sicht von Außen auf Datenbank, Anwendungsserver und Message-Server sowie auf Dienste wie SAP Gateway etc. sind die Angriffsziele.

Werkzeuge

Jeder Beruf hat seinen eigenen Werkzeugkasten. Genauso ist es im Bereich Hacking und Penetrationstests. Der Satz persönlicher Werkzeuge, den ein Sicherheitsexperte verwendet, ist Ausdruck des eigenen Arbeitsstils und der eigenen Erfahrung. Die in diesem Kapitel beschriebenen Werkzeuge haben sich in der Praxis als taugliche Arbeitsmittel bewiesen. Welche davon in Ihren eigenen, persönlichen Arbeitsfundus Eingang finden, ist eine Frage des eigenen Arbeitsflusses und des eigenen Stils. .

Als Partner der Firma Werth IT benutzen wir das integrierte Werkzeug „SAP Auditor“ für die Durchführung aller Penetrations im SAP-Bereich. Dieses Werkzeug bietet alles, um einen kompletten Pen-Test in der Regel in wenigen Stunden durchzuführen. Dieses Werkzeug kann auf jedem beliebigen Desktop oder Laptop installiert werden bzw. ist auf den Laptops unserer Berater komplett vorinstalliert.

SAP Anwendung

Herkömmliche Angriffsverfahren, wie sie bei Web-Anwendungen realisiert werden, sind im Bereich SAP komplett sinnlos, da SAP als Laufzeitumgebung niemals in einen ungesicherten Zustand fällt. Deshalb kann ein solches Verfahren auch nicht funktionieren. Dies geht ausschließlich über Source-Analysen. Hierfür stehen in SAP prinzipiell Werkzeuge wie der SAP Code Inspektor zur Verfügung. Dies ist in der Regel nicht Bestandteil eines klassischen Penetration Test.

Dokumentation

Ein seriöser Penetration Tester wird immer alle Schritte dokumentieren und alle Zusatzinformationen wie log-Files etc. zur Verfügung stellen. Die Ergebnisse werden alle dokumentiert und zu jedem Angriffs-Punkt, der gefunden wird, wird auch eine Anleitung zur Behebung gegeben („Mitigation“)

Abschluß-Gespräch

Es finden mehrere Sessions statt. Zum ersten werden die Ergebnisse mit der SAP-Basis-Gruppe des IT-Centers besprochen. Es gilt vor allem, hier gegen eine zu definierende Baseline zu bewerten, die gemeinsam festgelegt werden muss.

Parallel müssen Sicherheitsaspekte des optionalen SAP Code Scan mit der Anwendungsprogrammierung diskutiert werden.

Die Ergebnisse muss der Pen Tester dann in eine allgemeine Bewertung und einen Abschluss –Bericht überführen, die mit allen Beteiligten abgestimmt ist. Wichtig ist hier, dass vor allem kritische Bewertungen mit dem Unternehmen diskutiert werden, ob „kritisch“ auch in dem jeweiligen Sicherheits-Kontext gilt.

 

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen