Федеральная служба по техническому и экспортному контролю (ФСТЭК) выпустила «Рекомендации по предотвращению угроз безопасности информации при использовании SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории Российской Федерации». Ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил 10 основных направлений защиты, которые помогают перевести теоретические требования регулятора в практические автоматизированные технологические процессы.
С уходом SAP с российского рынка организации оказались перед необходимостью обеспечивать безопасность критически важных ERP-систем самостоятельно.
«Техническая невозможность получать официальные обновления и консультации от вендора приводит к увеличению числа неустранённых уязвимостей и неконтролируемых рисков. Ручная инвентаризация тысяч объектов, поиск патчей и аудит конфигураций становятся колоссальной, практически невыполнимой задачей для внутренних команд информационной безопасности. Решение заключается в автоматизации процессов кибербезопасности с использованием отечественных технологий», – отметил IT Speaker эксперт.
В качестве технологической основы эксперт предлагает программный комплекс SafeERP – российскую разработку, зарегистрированную в Едином реестре российских программ, – многофункциональный модульный комплекс для контроля безопасности сложных ERP-систем, функционирующих на платформах SAP и 1С.
Продукт обладает модульной архитектурой, что дает возможность гибко организовывать защиту. Ключевым для задач ФСТЭК является модуль SafeERP Security Suite, который непосредственно интегрируется в инфраструктуру SAP клиента и обеспечивает глубокий анализ платформы и кода.
Тимур Цыбденов выделил 10 направлений автоматизации защиты в соответствии с требованиями ФСТЭК:
1. Управление обновлениями.
Автоматический поиск отсутствующих патчей на основании собственной базы данных, содержащей более 4000 SAP Security Notes. Это критически важно для поддержания безопасности системы в условиях отсутствия доступа к порталу поддержки SAP.
2. Учетные записи и пароли по умолчанию.
Система контролирует сложность паролей, блокирует неактивные учетные записи и отслеживает использование технических аккаунтов (SAP, DDIC).
3. Неиспользуемый функционал и сервисы.
Избыточно открытые сервисы SAP NetWeaver, SAP S/4HANA и других компонентов – одна из основных точек входа для злоумышленников. SafeERP Security Suite автоматизирует наиболее трудоемкий процесс – инвентаризацию сотен веб-сервисов SAP и управление ими.
4. Открытые интерфейсы и администрирование.
Эта рекомендация реализуется через автоматизированную проверку и управление списками контроля доступа (ACL). Решение проводит всесторонний аудит конфигураций ACL для критически важных административных интерфейсов, включая SAPControl, Message Server, Gateway и SAPRouter.
РКН планирует фильтровать интернет-трафик с помощью ИИ
5. Параметры профиля и конфигурации безопасности.
SafeERP Security Suite проверяет параметры профиля системы по более чем 1300 сценариям. Автоматическая сверка с эталонными значениями позволяет устранить настройки, допускающие обход аутентификации или подбор паролей.
6. Шифрование и защита каналов связи.
SafeERP Security Suite целенаправленно контролирует критические параметры конфигурации. Продукт автоматически проверяет и анализирует ключевые настройки SSL/TLS, такие как icm/HTTPS/cipher_suite и ssl/client_ciphersuites, что позволяет гарантировать использование только современных и разрешённых алгоритмов шифрования и корректную активацию протоколов для HTTP(S), RFC и других соединений. Таким образом, сосредоточив внимание на проверке и контроле именно этих системных параметров, SafeERP предоставляет верифицируемый механизм для выполнения рекомендаций регулятора по защите всех каналов передачи данных в SAP.
7. Контроль доступа и разделение полномочий.
SafeERP Security Suite осуществляет непрерывный и целенаправленный мониторинг критически важных административных полномочий. Продукт обеспечивает глубокий контроль над ключевыми точками привилегий во всей экосистеме SAP, включая роли администраторов в SAP BusinessObjects (CMC), прямые привилегии в базе данных HANA (такие как SELECT и ADMIN), права в административных группах сервера приложений Java (J2EE), а также отслеживание присвоения и использования сверхпривилегированных профилей SAP_ALL и SAP_NEW.
8. Логирование и аудит.
SafeERP Security Suite предоставляет не просто инструмент для сбора логов, а комплексную платформу для управления информационной безопасностью. Система обеспечивает полную регистрацию действий пользователей и административных изменений.
9. Безопасность данных в SAP-системах.
SafeERP Security Suite автоматизированно контролирует авторизации. Решение не просто проверяет, а активно обеспечивает соблюдение политики безопасности, централизованно управляя правами доступа к транзакциям и данным.
10. Безопасность процесса безопасной разработки в SAP-системах.
SafeERP Security Suite комплексно контролирует весь жизненный цикл изменений. Решение принудительно ограничивает использование опасного режима отладки DEBUG в продуктивной среде, блокируя возможность подмены переменных, что является ключевым вектором атак. Параллельно продукт интегрируется в транспортную систему SAP (STMS), гарантируя, что все изменения в промышленные системы проходят исключительно через утверждённый и контролируемый конвейер (DevOps/DevSecOps), а не посредством прямого доступа.
«В условиях отсутствия легальных обновлений рекомендации ФСТЭК стали прагматичной дорожной картой для выживания критической инфраструктуры», – заключает Тимур Цыбденов. По мнению эксперта, суть защиты сегодня сводится к четырём столпам: жесткой изоляции, минимизации привилегий, непрерывному мониторингу и глубокому аудиту. Внедрение автоматизированных решений – единственный способ выиграть время и обеспечить стабильность бизнеса.
Ранее компания «Газинформсервис» представила новую разработку в области кибербезопасности и рассказала об успехах своего центра мониторинга и реагирования GSOC, который был запущен ровно год назад на этом же мероприятии. Николай Нашивочников, технический директор компании, остановился на ключевых достижениях GSOC и анонсировал новый продукт.
«Континент 4» от «Кода Безопасности» успешно прошло проверку Innostage
