Одни из самых распространенных платформ для корпоративных информационных систем в России - SAP и 1C Предприятие. В обеих основную ценность представляют так называемые расширения, обеспечивающие клиентам требуемую функциональность: для SAP – это модули на языке ABAP, для 1С Предприятия – конфигурации, для создания которых используется встроенный язык программирования. С точки зрения информационной безопасности ситуация неутешительна: к задаче обнаружения закладок в custom-коде расширений в последние годы добавилось выявление классических веб-уязвимостей из OWASP Top10. В докладе будет рассмотрена оценка защищенности расширений корпоративных информационных систем, а также подходы к решению этой задачи в отношении платформы SAPв зарубежных странах, и в отношении платформы 1С – в России.

1. Обеспечение безопасности
расширений в корпоративных
информационных системах
Как обстоят дела у «них» и у «нас»
Андрей Петухов

2. Цель и метод
• Cравнить степень осознания задачи по защите бизнес
приложений у “нас” и у “них” (на примере SAP и 1C)
• Метод:
✓ определим, что же такое бизнес-приложения
✓ опишем высокоуровневую структуру бизнес-приложений и определим
характерные черты бизнес-приложений (BS)
✓ используем структуру для постановки задачи комплексной защиты
✓ разделим задачи по защите на типичные и специфичные именно для BS
✓ рассмотрим подходы к решению специфичных задач
✓ сделаем выводы и поставим диагноз

3. Making things clear
• business software vs idleness software

4. High-level view on BS
Наполнение платформы
Программы на DSL
Платформа для автоматизации и контроля БП
Система поддержки разработки и выполнения программ на DSL, стандартная библиотека
Инфраструктура для работы РИС
Многозвенная слабо связанная архитектура

5. Ключевая особенность BS
• Подходы к обеспечению безопасности BS и
Система Unreal Idleness
Unreal Idleness будут различаться. Почему?
• Ключевой особенностью BS является Программы на DSL
✓ огромная ценность обрабатываемой информации Unreal Script
✓ критичность в свете обеспечения непрерывности и
эффективности бизнес процессов Среда выполнения программ на DSL
• Последствия реализации одних и тех же
Unreal Engine
угроз для обычных РИС и для бизнес-
Инфраструктура для работы РИС
приложений различаются кардинально Многозвенная слабо связанная архитектура
• Неактуальные задачи для обычного ПО
становятся актуальными для BS
• Затраты на Application Security vs
Infrastructure Security

6. Уязвимости в РИС
• Уязвимость может быть в любом компоненте РИС
• Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла
ее компонента
• Компоненты РИС бывают стандартными, сторонними и собственными
• Чем выше в схеме компонент РИС, тем меньше его распространенность
• Вероятность обнаружения уязвимости и ее Impact Factor зависит от
распространенности компонента
• Для распространенных компонентов формируется своя экосистема по
обеспечению их безопасности
• Из-за их природы, к программам на DSL не применимы существующие
средства статического анализа, фреймворки для тестирования и пр.
• Для собственных компонентов требования к безопаности должны
предъявляться на этапе разработки, по результатам моделирования угроз

7. Ничего не напоминает?

8. Стандартные компоненты
• Реализация принципа ограниченности ущерба
• Patch management
• Best practices по внедрению, конфигурации, эксплуатации и аудиту
• Системы мониторинга и обнаружения вторжений
• Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???)
Платформа для автоматизации и контроля БП
Система поддержки разработки и выполнения программ на DSL, стандартная библиотека
Инфраструктура для работы РИС
Многозвенная слабо связанная архитектура

9. Собственные компоненты
• Угрозы
✓ программные закладки
✓ уязвимости (прежде всего Input Validation)
• Важные факторы
✓ тенденция к интеграции с веб-технологиями и выходу в Интернет
✓ отсутствие требований к безопасности собственного ПО
✓ ограниченность инструментария для анализа программ на DSL
Наполнение платформы
Программы на DSL

10. Программные закладки
• Методически
✓ без спецификации - теоретически неразрешимая задача
✓ варианты хоть какого-то решения: code review, сигнатурный
статический анализ, динамический анализ с подсчетом покрытия
• Практически
✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от
Fortify; предложения по code review
✓ 1С Предприятие - ???

11. Уязвимости в custom-коде
• Методически
✓ определение зависимости аргументов критичных функций от
пользовательского ввода при отсутствии его обработки
✓ варианты решения: code review, статический taint-анализ,
динамический taint-анализ, black-box тестирование по словарю атак
✓ словари атак black-box сканеров должны быть расширены
специализированными векторами атак
• Практически
✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от
Fortify; предложения по code review; отчасти black-box сканеры
✓ 1С Предприятие - отчасти black-box сканеры

12. Выводы
• У “них”: осознание проблемы уже находится на уровне
необходимости защиты собственных расширений
• У “нас”: осознание проблемы находится на уровне
необходимости защиты платформы
• Диагноз: владельцы инсталляций 1С Предприятия
практически беззащитны перед технически грамотными
инсайдерами, имеющими доступ к конфигурациям 1С

13. Спасибо за внимание
• Email: andrew.petukhov@internalsecurity.ru
• WWW: http://internalsecurity.ru/
• Web log: http://andrepetukhov.wordpress.com/
• Tel: +7 (495) 774-90-48