Kontrollierter Massenangriff auf das eigene SAP-System?

Crowd Based Pen Testing

Was halten Sie von der Idee, mehrere Hundert Hacker gleichzeitig auf Ihre SAP-Landschaft los zu lassen, um mehr Erkenntnisse über Ihre SAP-Sicherheit zu bekommen?

Es ist eine ziemlich gute Idee. Denn gerade für SAP-Systeme werden diese neuen Wahrheiten, diese neuen Benchmarks und Erkenntnisse für die eigene SAP Sicherheit des Unternehmens gebraucht.

Ein SAP System Scan, um Sicherheitslücken aufzudecken ist aktuell der Maßstab für SAP Security. Der Netweaver-Stack wird automatisch von einem beliebigen Werkzeug gescannt und die bekannten Sicherheitslücken werden überprüft und anschließend analysiert. Das ist bei vielen Unternehmen der Standard, wenn es um die von externen oder internen verlangten SAP System-Audits geht.

Das deckt aber nur einen kleinen Teil der Wahrheit ab, die sich hinter einer immer komplexer werdenden SAP-Landschaft verbirgt. Was ist denn mit SAP HANA, mit den auf klassischen Web Technologien aufbauenden SAP FIORI, den Javascript-Anwendungen von HANA XS und SAPUI5? Wer wagt da noch zu sagen, die eigenen Systeme sind sicher?
Auch der einzelne Pen Tester ist überfordert. Die üblichen Scanner liefern auch nur die üblichen Resultate, und die meisten Hersteller haben sich gegen diese Standard-Überprüfung längst gerüstet. Ein Hacker oder Pen Tester alleine kann gar nicht die Bandbreite an Wissen und Können mitbringen, alles zu hacken, alles zu analysieren und die Schwachstellen sicher zu erkennen.

Denn auch die nächste Generation von Angriffen läuft längst.


Wir haben zu diesem Thema ein Webinar mit synack, der SAP SE und uns, der Firma log(2) . 

Zur Anmeldung Webinar „SAP Crowd Based Pen Testing“

Live online Dienstag, den 6. November 2018 um 10:00 Germany – Berlin Zeit. 
Es wird präsentiert von: 

– Uemit Uezdurmus, Global Head of SAP Managed Security Services, SAP

– Holger Stumm, CEO of LOG2, ein in Deutschland ansässiges Unternehmen, das auf SAP Security spezialisiert ist und seit 15 Jahren im SAP-Markt aktiv ist 

– Ron Peeters, Managing Director EMEA of Synack, ein im Silicon Valley ansässiger Marktführer in Offensive Security Testing.


Sicherheit als Angriff auf SAP-Systeme, nicht als Routine

„Offensive Security“ ist ein neues Schlüsselwort. Es bezeichnet die Angriffsvektoren der Hacker, die neueste Ideen aus halblegalen oder illegalen Hackerforen umsetzen, gemeinsam neue Angriffsvektoren sprichwörtlich aushecken und bei ihren Angriffen einsetzen. Dies sind Angriffe jenseits von Norm und Standards. Oft sind es Angriffe, die nicht die klassischen Systeme direkt angreifen, sondern über deren Ecken („Edges“) kommen. „Edges“ sind die Übergänge von einer Ebene auf die andere, von einer Single-Sign-On-Instanz auf die andere, von Cloud zu Premise und umgekehrt, von DMZ auf die inneren Ebenen, die klassischen SAP „Third Tier“ und von den Frontend-Systemen auf die Datenbank-Systeme. Ebenen und Segmente also, die zu komplex für die Standard-Scanner sind, die Gespür und Wissen fordern und immer neue Werkzeuge für immer komplexere Angriffsszenarien.
Ist immer alles TLS-verschlüsselt? Auch das ist kein Schutz mehr, Hacker rüsten sich immer mehr dafür aus, auch komplexe Verschlüsselungen anzugreifen. Nicht die Verschlüsselung und die Zertifikate sind der eigentliche Angriffspunkt, sondern die „Edges“. Sind Fehler im Protokoll, im Handshake und beim „Whiteboxing“, der Verschleierung der Verschlüsselung und Protokolle? Das sind erstklassige Angriffspunkte.

Wie kann ich mich in dieser Welt der „Offensive Security“ als SAP-Abteilung aufstellen, um auch hier komplexe Landschaften gegen die neuen Bedrohungen zu sichern?
Man kann sich mit einer Armada von Hackern dagegen schützen. Durch die neuen „Crowds“, die Gruppen und Mengen von Hackern, die sich versammeln, wenn es Beute zu machen gibt.
Daraus hat sich der Begriff der „Bug Bounty“ abgeleitet. Viele Hacker machen nicht mehr das Internet unsicher, um sich Geld durch kriminelle Aktionen zu verdienen, sondern um die entdeckten Schwachstellen an die Eigentümer, die Betreiber und Hersteller zu melden., Dafür gibt es dann eine aus der Piratensprache entlehnte Prämie, die „Bug Bounty“, der wie ein guter Finderlohn ein paar Prozent des Schadens entspricht, den man anrichten könnte.
Und dafür gibt es auch inzwischen Institutionen, die dies verwalten. SYNACK ist ein Unternehmen davon. Im Gegensatz zu allen anderen „Bug Bounty“ Programmen sind die Hacker handverlesen, wurden Interviews, Tests und Echtzeit-Hackings („Capture The Flag“) unterzogen, um die Qualifikation zu überprüfen. Danach unterlaufen sie einem weltweiten Background-Check, der auch ein polizeiliches Führungszeugnis einschließt sowie ein prüfen der Ausweis-Dokumente.
Woher ich das weiß? Auch in bin ein Synack „Researcher“, ein Red Team SRT Member“, also ein ausgewählter Hacker. (Das Wort „Elite“ wird von Synack gerne verwendet, weil nur etwa 2% aller Bewerber angenommen werden)

Researcher und Hacker

Wir SRT-Hacker bekommen meistens Abends unsere URL zum Hacken geschickt und verbinden uns mittels eines Virtual Private Network mit Synack. Von dort haben wir dann auch Zugriff auf die Kundensysteme. Wir arbeiten als nicht direkt aus einem Internet, sondern extrem kontrolliert und auch vollständig dokumentiert, was in diesem Kontext für alle Beteiligten auch aus juristischen Gründen extrem wichtig ist.

Die Jagd nach der „Bug Bounty“

Bis zu mehreren 100 SRT Mitglieder gleichzeitig in Angriffslaune werden nicht nach Stunden bezahlt, sondern nach gefundenen, ernsthaften Fehler. Und die werden meist schon nach ein paar Stunden offensichtlich. Der Kunde hat einen „Kill Switch“, mit dem er seine Verbindung und seine Server direkt aus dem Synack Netz nehmen kann, falls es zu kritisch wird. Oder sich von den SRT-Hackern die schonungslose Wahrheit über seine Systeme aufdecken lassen. Dies sind natürlich nicht (zumindest meistens) die Produktiv-Systeme, sondern Testsysteme.
Das klingt nicht nur spannend, sondern dass ist es auch. Es funktioniert auch bestens für alle neuen SAP-Technologien. SAP HANA, FIORI, WebAPps, REST Gateways, API’s, SSO – alles, was auch im Web, also „External Facing“ steht, kann hier ausführlich getestet werden.

Log(2) vertreibt die Synack Lösung selber, da wir als Pen Tester extrem von dieser Lösung überzeugt sind. Es ist ein Gewinn für beide Seiten.

Interessiert? Dann kontaktieren Sie uns für weitere Informationen.