SlideShare una empresa de Scribd logo

How SAP make secure SAP

Positive Hack Days
Positive Hack Days

В рамках секции: Эволюция SOC — 2017: план развития

Tecnología
1 de 14
PUBLIC May, 2017 Alexey Shabanov Arkady Prokudin How SAP secure SAP Мониторинг ландшафта ERP
2PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP a global company – … Our focus area … IT Security for …
3PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ *) Not all Cloud Solutions are available in all Data Center; for the availability of Cloud Solutions please compare the official availability matrix SAP Cloud Secure data center overview * US Germany Japan Australia (Brasil) China Canada Russia Netherlands Singapore operational planned SAP is a Cloud Company. SAP Cloud Secure Data Centers – Data Center on level III or IV – SAP Data Centers around the world 14 countries, 30 locations, 40 DCs – Benefit from local regulations (e.g. strong German & EU regulations) – Low latency speeds-up access – Customer can choose ▫ Region of data storage ▫ EU-only operations available ▫ preferred datacenter partner
4PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ
5PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP Global Security – Secure operations Where we come from … Global IT Security, Compliance Process & Privacy Approach
6PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Management System of standards and best practices* *) The Management systems are used across all SAP Cloud Secure services, execution of independent certification and audit depend on service and organizational unit respectively. Details available at: http://go.sap.com/corporate/de/company/innovation-quality/excellence.html **) Component of the Integrated Information Security Management System (IISMS) of SAP ***) Shall come into effect in May 2018 Code of Practice ISO 27002 Foundation Data Protection BS 10012 ISO 27018 Data Privacy EU Directive 95/46/EC BDSG, GDPR*** Privacy Security Best Practice (extract) Service Delivery ISO 20000 Business Continuity ISO 22300 Application Security ISO 27034 OWASP Hardening Guidelines SANs, ISO CERT, NIST Quality Management ISO 9000 ISO25010 Destruction of Media ISO 27040 Incident Management ISO 27035 Certification ISO 27001** ISO 22301**, ISO 9001** BS10012 Operations and Compliance SOC 2, SOC 3 (AT 101 / ISAE 3000) Financial Controls SOC 1 (SSAE16 / ISAE 3402) Transparency
7PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Противодействие • Разработка безопасного программного обеспечения (SDLC) • Управление функциями безопасности • Управление тестированием • Обучение персонала Детектирование • Мониторинг угроз продуктового ландшафта • Управление отклонениями безопасности • Управление угрозами и уязвимостями • SOC – центр мониторинга безопасности Реагирование • Политика управления инцидентами • Политика управления экстренным доступом • Управление ответными мерами Операционная безопасность Подход SAP в безопасной операционной деятельности Международные практики сертификации и аттестации Взаимодействие в индустриях Безопасность поставщиков и партнёров
8PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Карта операционной безопасности
9PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Что хранится в SAP-системах? Финансы HR Интеллектуальная собственность Стратегия CRM/SRM Логистика Документы Финансовая отчётность компании группы компаний Бюджетные документы Финансовые операции с клиентами Финансовые операции с поставщиками Информация о позиции Информация о заработной плате Информация об опыте Рекрутинг и прочие персональные данные Планы развития продуктов Маркетинговые планы Проекты прототипов и концептов Утвержденная стратегия компании Стратегические KPI Стратегия продаж Стратегия выхода на новые рынки Стратегия по развитию Данные клиентов Данные поставщиков Состояние сделок Потенциал будущих сделок с клиентами и поставщиками Данные по транспорту и товарам Расположение товара на складах Маршруты передвижения товара Договора Описание товара Вложенные документы
10PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Финансы Закупки Кадры Мониторинг защищённости SAP-ландшафта Security Operation Center (SOC) Enterprise Threat Detection Route Profitability Warehouse management Controlling Treasury Consolidation + IFSR Finance&Accounting Leasing Order to cash Core HR & Payroll Financial close IT Performance Management (KNOA) Budgeting SAP
11PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Пример сценария Назначение SAP_ALL и следующие действия Получение SAP_ALL Log on Debug and divert money  Повышение привилегий пользователя.  Кто-то из пользователей подключается через свою учетную запись, запускает debug финансовой отчетности и меняет данные.  После меняет полномочия обратно.  Автоматическое детектирование атаки с помощью паттернов будет уведомлять SOC : – Users – Terminals – Key events – Values that were altered
12PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Какие атаки бывают на SAP • Access to Critical Resource • Authorization Critical Assignment • Brute Force Attack • Configuration • Cross Communication • CSRF • Data Manipulation • Debugging • Denial of Service • Failed Logon • Health Checks • Information Disclosure • Security Notes and Messages • SPNego • Standard Users • Suspicious Logon • User Maintenance • User Types
13PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Southern California Edison Индустрия: Энергетика (electricity supply company ) Страна: США Решения: Access Control, Process Control, Risk Management, SAP Regulation Management by Greenlight Полученные преимущества: • Достигли внушительного снижения издержек путем автоматизации около 200 контролей • Снижено количество дуплицированных данных путем интеграции изменений требований безопасности и управления рисками в нескольких системах контролей • Достигнута быстрая скорость реагирования на требования безопасности • Бизнес-процессы выстроены в соответствии с требованиями безопасности
Спасибо Прокудин Аркадий (SAP CIS) Arkady.Prokudin@sap.com Mob. +7(903) 224-59-50 Tel. +7(495) 755-98-00 Шабанов Алексей (SAP CIS) Alexey.Shabanov@sap.com Tel. +7(495) 755-98-00

Recomendados

Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроенияPositive Hack Days
 
Нужен ли вам SOC?
Нужен ли вам SOC? Нужен ли вам SOC?
Нужен ли вам SOC?Positive Hack Days
 
Глобальные планы, конкретные задачи: будни SOC Ростелекома
Глобальные планы, конкретные задачи: будни SOC Ростелекома Глобальные планы, конкретные задачи: будни SOC Ростелекома
Глобальные планы, конкретные задачи: будни SOC РостелекомаPositive Hack Days
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Positive Hack Days
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028Diana Frolova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 

Recomendados

Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроенияPositive Hack Days
 
Нужен ли вам SOC?
Нужен ли вам SOC? Нужен ли вам SOC?
Нужен ли вам SOC?Positive Hack Days
 
Глобальные планы, конкретные задачи: будни SOC Ростелекома
Глобальные планы, конкретные задачи: будни SOC Ростелекома Глобальные планы, конкретные задачи: будни SOC Ростелекома
Глобальные планы, конкретные задачи: будни SOC РостелекомаPositive Hack Days
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Positive Hack Days
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028Diana Frolova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПЭЛВИС-ПЛЮС
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Компания УЦСБ
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12Компания УЦСБ
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Siem
SiemSiem
Siemcnpo
 
Кузнецов_v1
Кузнецов_v1Кузнецов_v1
Кузнецов_v1Aleksandr Kuznetcov, CISM
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Светлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятиеСветлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятиеtradehelp2
 

Más contenido relacionado

La actualidad más candente

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПЭЛВИС-ПЛЮС
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Компания УЦСБ
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12Компания УЦСБ
 
Siem
SiemSiem
Siemcnpo
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 

La actualidad más candente (20)

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТП
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
КСИБ
КСИБКСИБ
КСИБ
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12Check point, ДЕРЖИ МАРКУ! Серия №12
Check point, ДЕРЖИ МАРКУ! Серия №12
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Siem
SiemSiem
Siem
 
Кузнецов_v1
Кузнецов_v1Кузнецов_v1
Кузнецов_v1
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 

Similar a How SAP make secure SAP

Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Светлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятиеСветлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятиеtradehelp2
 
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...SelectedPresentations
 
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Cisco Russia
 
Цифровые финансы - фундамент инвестиционной привлекательности
Цифровые финансы - фундамент инвестиционной привлекательностиЦифровые финансы - фундамент инвестиционной привлекательности
Цифровые финансы - фундамент инвестиционной привлекательностиFaridGattal
 
Микросервисы в бизнес-приложениях: Теория и практика
Микросервисы в бизнес-приложениях: Теория и практикаМикросервисы в бизнес-приложениях: Теория и практика
Микросервисы в бизнес-приложениях: Теория и практикаCEE-SEC(R)
 
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...ActiveCloud
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONTYuri Yashkin
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco Russia
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Softline
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Micro Focus ITSM Automation
Micro Focus ITSM AutomationMicro Focus ITSM Automation
Micro Focus ITSM AutomationYuri Yashkin
 
Вебинар по AgileSI 02.12.14
Вебинар по AgileSI 02.12.14Вебинар по AgileSI 02.12.14
Вебинар по AgileSI 02.12.14DialogueScience
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБДAndrey Akulov
 
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...IBS
 
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...WG_ Events
 
Новая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNAНовая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNACisco Russia
 

Similar a How SAP make secure SAP (20)

Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Светлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятиеСветлана Ломоносова. Алматы интеллектуальное предприятие
Светлана Ломоносова. Алматы интеллектуальное предприятие
 
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...
Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...
 
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
Стратегия развития услуг на глобальном облачном рынке. Взгляд Cisco.
 
Мировые тренды развития SOC
Мировые тренды развития SOCМировые тренды развития SOC
Мировые тренды развития SOC
 
Цифровые финансы - фундамент инвестиционной привлекательности
Цифровые финансы - фундамент инвестиционной привлекательностиЦифровые финансы - фундамент инвестиционной привлекательности
Цифровые финансы - фундамент инвестиционной привлекательности
 
Микросервисы в бизнес-приложениях: Теория и практика
Микросервисы в бизнес-приложениях: Теория и практикаМикросервисы в бизнес-приложениях: Теория и практика
Микросервисы в бизнес-приложениях: Теория и практика
 
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...
Новые возможности для Вашего бизнеса. Облачные технологии компании SAP на при...
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation Firewalls
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Micro Focus ITSM Automation
Micro Focus ITSM AutomationMicro Focus ITSM Automation
Micro Focus ITSM Automation
 
Вебинар по AgileSI 02.12.14
Вебинар по AgileSI 02.12.14Вебинар по AgileSI 02.12.14
Вебинар по AgileSI 02.12.14
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБД
 
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...
Алексей Романенко, SAS. Опыт построения системы оптимального распределения то...
 
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...
DataTalks #4: Что такое предиктивная аналитика и кому она нужна / Надежда Руч...
 
Новая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNAНовая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNA
 
Пезентация
ПезентацияПезентация
Пезентация
 

Más de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Más de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

How SAP make secure SAP

  • 1. PUBLIC May, 2017 Alexey Shabanov Arkady Prokudin How SAP secure SAP Мониторинг ландшафта ERP
  • 2. 2PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP a global company – … Our focus area … IT Security for …
  • 3. 3PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ *) Not all Cloud Solutions are available in all Data Center; for the availability of Cloud Solutions please compare the official availability matrix SAP Cloud Secure data center overview * US Germany Japan Australia (Brasil) China Canada Russia Netherlands Singapore operational planned SAP is a Cloud Company. SAP Cloud Secure Data Centers – Data Center on level III or IV – SAP Data Centers around the world 14 countries, 30 locations, 40 DCs – Benefit from local regulations (e.g. strong German & EU regulations) – Low latency speeds-up access – Customer can choose ▫ Region of data storage ▫ EU-only operations available ▫ preferred datacenter partner
  • 4. 4PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ
  • 5. 5PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ SAP Global Security – Secure operations Where we come from … Global IT Security, Compliance Process & Privacy Approach
  • 6. 6PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Management System of standards and best practices* *) The Management systems are used across all SAP Cloud Secure services, execution of independent certification and audit depend on service and organizational unit respectively. Details available at: http://go.sap.com/corporate/de/company/innovation-quality/excellence.html **) Component of the Integrated Information Security Management System (IISMS) of SAP ***) Shall come into effect in May 2018 Code of Practice ISO 27002 Foundation Data Protection BS 10012 ISO 27018 Data Privacy EU Directive 95/46/EC BDSG, GDPR*** Privacy Security Best Practice (extract) Service Delivery ISO 20000 Business Continuity ISO 22300 Application Security ISO 27034 OWASP Hardening Guidelines SANs, ISO CERT, NIST Quality Management ISO 9000 ISO25010 Destruction of Media ISO 27040 Incident Management ISO 27035 Certification ISO 27001** ISO 22301**, ISO 9001** BS10012 Operations and Compliance SOC 2, SOC 3 (AT 101 / ISAE 3000) Financial Controls SOC 1 (SSAE16 / ISAE 3402) Transparency
  • 7. 7PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Противодействие • Разработка безопасного программного обеспечения (SDLC) • Управление функциями безопасности • Управление тестированием • Обучение персонала Детектирование • Мониторинг угроз продуктового ландшафта • Управление отклонениями безопасности • Управление угрозами и уязвимостями • SOC – центр мониторинга безопасности Реагирование • Политика управления инцидентами • Политика управления экстренным доступом • Управление ответными мерами Операционная безопасность Подход SAP в безопасной операционной деятельности Международные практики сертификации и аттестации Взаимодействие в индустриях Безопасность поставщиков и партнёров
  • 8. 8PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Международный опыт в оперативном мониторинге бизнес-систем Карта операционной безопасности
  • 9. 9PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Что хранится в SAP-системах? Финансы HR Интеллектуальная собственность Стратегия CRM/SRM Логистика Документы Финансовая отчётность компании группы компаний Бюджетные документы Финансовые операции с клиентами Финансовые операции с поставщиками Информация о позиции Информация о заработной плате Информация об опыте Рекрутинг и прочие персональные данные Планы развития продуктов Маркетинговые планы Проекты прототипов и концептов Утвержденная стратегия компании Стратегические KPI Стратегия продаж Стратегия выхода на новые рынки Стратегия по развитию Данные клиентов Данные поставщиков Состояние сделок Потенциал будущих сделок с клиентами и поставщиками Данные по транспорту и товарам Расположение товара на складах Маршруты передвижения товара Договора Описание товара Вложенные документы
  • 10. 10PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Финансы Закупки Кадры Мониторинг защищённости SAP-ландшафта Security Operation Center (SOC) Enterprise Threat Detection Route Profitability Warehouse management Controlling Treasury Consolidation + IFSR Finance&Accounting Leasing Order to cash Core HR & Payroll Financial close IT Performance Management (KNOA) Budgeting SAP
  • 11. 11PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Пример сценария Назначение SAP_ALL и следующие действия Получение SAP_ALL Log on Debug and divert money  Повышение привилегий пользователя.  Кто-то из пользователей подключается через свою учетную запись, запускает debug финансовой отчетности и меняет данные.  После меняет полномочия обратно.  Автоматическое детектирование атаки с помощью паттернов будет уведомлять SOC : – Users – Terminals – Key events – Values that were altered
  • 12. 12PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Какие атаки бывают на SAP • Access to Critical Resource • Authorization Critical Assignment • Brute Force Attack • Configuration • Cross Communication • CSRF • Data Manipulation • Debugging • Denial of Service • Failed Logon • Health Checks • Information Disclosure • Security Notes and Messages • SPNego • Standard Users • Suspicious Logon • User Maintenance • User Types
  • 13. 13PUBLIC© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ Southern California Edison Индустрия: Энергетика (electricity supply company ) Страна: США Решения: Access Control, Process Control, Risk Management, SAP Regulation Management by Greenlight Полученные преимущества: • Достигли внушительного снижения издержек путем автоматизации около 200 контролей • Снижено количество дуплицированных данных путем интеграции изменений требований безопасности и управления рисками в нескольких системах контролей • Достигнута быстрая скорость реагирования на требования безопасности • Бизнес-процессы выстроены в соответствии с требованиями безопасности
  • 14. Спасибо Прокудин Аркадий (SAP CIS) Arkady.Prokudin@sap.com Mob. +7(903) 224-59-50 Tel. +7(495) 755-98-00 Шабанов Алексей (SAP CIS) Alexey.Shabanov@sap.com Tel. +7(495) 755-98-00