Обзор SafeERP 4.9.2, комплекса для контроля безопасности бизнес-систем

1. Введение
2. Архитектура и функциональные возможности SafeERP
   1. 2.1. Архитектура и возможности SafeERP Code Security Extension Module (CS EM)
   2. 2.2. Архитектура и возможности SafeERP Platform Security Extension Module (PS EM)
   3. 2.3. Архитектура и возможности SafeERP Security Suite
3. Системные требования SafeERP
4. Соответствие SafeERP требованиям регуляторов
5. Взаимодействие SafeERP с другими системами
6. Сценарии использования
   1. 6.1. Сценарии использования SafeERP Code Security Extension Module (CS EM)
   2. 6.2. Сценарии использования SafeERP Platform Security Extension Module (PS EM)
   3. 6.3. Сценарии использования SafeERP Security Suite
7. Выводы

Введение 

Для оптимизации бизнес-процессов в структурах крупных компаний используются системы класса «планирование ресурсов предприятия» (Enterprise Resource Planning, ERP). После ухода из России одного из ключевых игроков этого рынка (SAP) российские организации продолжают пользоваться решениями со схожей функциональностью — например, разработками от 1С. SafeERP от компании «Газинформсервис» — отечественное ПО, которое может снизить риски при работе с подобными сервисами. 

ERP-системы зарекомендовали себя как неотъемлемый атрибут крупной компании. Без ПО этого класса трудно представить себе эффективное управление современным крупным бизнесом, ведь ERP хранит и связывает между собой данные обо всех бизнес-процессах. Чаще всего это — информация о продажах, производственных процессах, закупках и управлении персоналом, а также бухгалтерские документы. Аккумулируя большое количество значимой для бизнеса информации и при этом предоставляя удалённый доступ к ней, ERP-системы очень нуждаются в контроле и защите от реализации рисков по части ИБ. 

Обеспечивать безопасность ERP-систем вручную трудно по нескольким причинам. Во-первых, обычно бизнес-приложения в компаниях поддерживаются небольшой командой специалистов и для них безопасность не является приоритетной задачей. Во-вторых, конфигурации ERP-систем обладают большим количеством параметров, влияющих на безопасность работы комплекса в целом.

Системы управления на базе SAP или 1С активно изменяются, причём как на уровне базовой системы, так и различными командами разработчиков, которым часто приходится создавать функциональные модули в условиях нехватки ресурсов. Решение этих задач вручную очень трудоёмко, а также не отвечает мировым стандартам жизненного цикла безопасной разработки (Security Development Lifecycle, SDL). 

В такой ситуации тема обеспечения безопасности ERP-систем становится очень актуальной. Желательно, чтобы защитное решение могло контролировать состояние конфигураций ПО и состояние кода, а также содержало инструменты соответствующие специфике бизнес-систем. 

В этом обзоре мы рассмотрим возможности отечественного продукта SafeERP от компании «Газинформсервис», предназначенного для защиты ERP-систем и бизнес-приложений.  

Архитектура и функциональные возможности SafeERP 

На данный момент ПК SafeERP состоит из трёх модулей: Code Security Extension Module (CS EM), Platform Security Extension Module (PS EM) и Security Suite. Первый выполняет поиск уязвимостей в коде на 1С и других языках программирования, второй отвечает за защиту платформы 1C и приложений, третий анализирует безопасность SAP (платформы и кода).

Архитектура комплекса инвариантна. В зависимости от целей можно использовать один из трёх модулей или все вместе.

Обозначим кратко пользу от применения SafeERP: 

• автоматизация получения информации об ИБ-событиях в системах SAP и 1С; 
• оптимизация обработки ИБ-событий, снижение трудозатрат на неё и на мониторинг;
• снижение затрат на устранение уязвимостей, найденных на ранних этапах разработки ПО;
• сокращение сроков и стоимости внедрения ПО, проектирования мер защиты по обеспечению безопасности систем SAP и 1С;
• контроль целостности ПО для защиты персональных данных; 
• регистрация доступа к конфиденциальной информации; 
• непрерывное сканирование и анализ защищённости;
• обеспечение безопасности разработки ПО (DevSecOps); 
• модульная функциональность по сбору и просмотру настроек ИБ;
• отчёты для специалистов и руководства, содержащие примеры эксплуатации уязвимостей и описание бизнес-рисков.

Архитектура и возможности SafeERP Code Security Extension Module (CS EM)

Модуль SafeERP CS EM автоматически анализирует код на 1С и других языках программирования (статический анализ — SAST), обеспечивая его безопасность. Он позволяет пользователям подключаться к серверу 1С в режиме конфигуратора и выгружать выбранные модули для дальнейшего анализа, что обеспечивает гибкость и эффективность сканирования. Модуль реализовывает синтаксический и семантический разбор кода, проводя анализ на предмет уязвимостей по более чем 45 сценариям для 1С и более чем 120 — для других языков программирования. Возможность настраивать уровень критической значимости и создавать пользовательские сценарии проверки кода обеспечивает контроль и безопасность при разработке. 

Архитектура решения — серверная с единой панелью мониторинга. 

Рисунок 1. Архитектура SafeERP Code Security Extension Module

Суть метода, применяемого в SafeERP CS EM, такова, что код из информационной базы 1С загружается для проверки прямо с работающего кластера 1С. SafeERP CS EM исследует всегда актуальную базу и даже может проверять сам факт изменения конфигурации — путём сравнения уникального идентификатора последней с ранее сохранённым.

Кроме того, при возможности подключения к базе 1С модуль SafeERP CS EM может анализировать в том числе расширения и внешние обработки. Последние хранятся только в информационной базе 1С, а значит, получить их код для проверки путём выгрузки не получится и анализировать их любыми продуктами, использующими только проверку выгрузок, нельзя. Для языка 1С разработан механизм получения кода прямо из базы данных 1С либо из баз работающего кластера 1С. 

Имеется возможность подключения к SAP HANA для выгрузки из него кода хранимых процедур (SQL-скрипт). 

Есть интеграция с GIT — выгрузка и возможность встроиться в CI / CD. 

Для получения кода из конфигурации 1С требуется тонкий клиент 1С 1cv8 (не входит в состав ПК SafeERP). Версия тонкого клиента должна совпадать с версией на подключаемом кластере 1С. Функциональность получения кода напрямую с кластера 1С работает начиная с версии платформы 1С 8.3.10.  

Польза от применения SafeERP Code Security Extension Module:

• выявление небезопасного состояния программного кода на 1С, SQLScript, XS, XML, JS, Python, C#, XSJS, XAML, Java; 
• анализ расширений и внешних обработок в режиме автоматического отделения от основной конфигурации; 
• автоматическая выгрузка и анализ изменённого кода из базы данных конфигураций 1С.

Архитектура и возможности SafeERP Platform Security Extension Module (PS EM)

Модуль SafeERP PS EM предназначен для анализа конфигураций системы 1С на соответствие установленным требованиям и для автоматизированного тестирования SAP-сервисов и другого распространённого ПО на проникновение методом динамического анализа.     

В модуле реализованы эксплойты для найденных уязвимостей. Сканер не только находит признаки уязвимости, но и проверяет возможность её эксплуатации, что, в свою очередь, позволяет более точно определить слабые места, а также значительно снижает количество ложных срабатываний при сканировании. 

Рисунок 2. Архитектура SafeERP Platform Security Extension Module

SafeERP PS EM состоит из следующих компонентов: сканирующий агент и сервер управления.

Сервер управления отвечает за распределение задач сканирования между агентами и за сбор результатов. Пользователи через веб-интерфейс ПК взаимодействуют с сервером управления для настройки новых проектов, указания целей сканирования и определения его параметров.

Агент отвечает за фактическое сканирование целевых хостов для выявления уязвимостей. Он связывается с сервером управления для получения задачи, после завершения которой отправляет ему результаты.

Польза от применения SafeERP Platform Security Extension Module:

• выявление небезопасного состояния настроек платформы (конфигураций 1С);
• контроль профилей безопасности кластера 1С;
• проверка приложений на наличие небезопасных настроек;
• идентификация запущенных на открытых портах сервисов, ПО и его версий;
• обнаружение уязвимостей (CVE) для идентифицированного ПО;
• поиск известных эксплойтов для обнаруженных уязвимостей (CVE);
• применение подготовленных пентестов для идентифицированных сервисов;
• анализ и контроль защищённости в режиме промышленной эксплуатации;
• запуск анализа в ручном режиме или по заданному расписанию.

Архитектура и возможности SafeERP Security Suite

Модуль SafeERP Security Suite предлагается на базе SAP Netweaver и встраивается в SAP-инфраструктуру заказчика. Агенты устанавливаются в качестве SAP-модулей и позволяют контролировать соответствие конфигураций систем установленным требованиям, выполнять контроль целостности объектов (Platform Security) и статический анализ программного кода ABAP (Code Security). Это позволяет минимизировать риски воздействия злоумышленников при обновлении системы, изменении её конфигурации и доработке функциональности на языке ABAP.

Архитектура решения — клиент-серверная на базе SAP-систем (add-on) с единой панелью мониторинга. 

Рисунок 3. Архитектура SafeERP Security Suite

Модуль SafeERP Security Suite устанавливается в качестве программного дополнения серверов приложений SAP NetWeaver 7.5 AS ABAP. Для установки и удаления используются штатные средства серверов приложений SAP NetWeaver. Требования к среде функционирования модуля SafeERP Security Suite соответствуют таковым для SAP NetWeaver 7.5 AS ABAP.  

Структурно Security Suite состоит из серверной части (сервера управления) и клиентской части (агента).

Сервер управления Security Suite реализован в виде программного дополнения к серверу приложений SAP NetWeaver 7.5 AS ABAP и предназначен для централизованного управления, сбора данных с агентов, хранения данных и эталонных значений, формирования отчётов.

Агенты Security Suite — это программные дополнения серверов приложений, они нужны для сбора данных, их подготовки и передачи на сервер управления ПК SafeERP. Агенты устанавливаются на SAP-системы заказчика в качестве дополнений (аддонов) и позволяют контролировать соответствие конфигураций систем установленным требованиям, выполнять контроль целостности объектов и статический анализ программного кода ABAP. В зависимости от технологической платформы используются следующие типы агентов ПК SafeERP:

• ABAP-агент представляет собой программное дополнение сервера приложений SAP NetWeaver AS ABAP версии 7.0 и выше;
• Java-агент представляет собой J2EE-приложение, компонент сервера приложений SAP NetWeaver AS Java версии 7.3 и выше;
• BO-агент — это RESTful-сервис, компонент веб-сервера Apache Tomcat для платформы SAP BusinessObjects Business Intelligence 4.x;
• HANA-агент — это архив, содержащий объект типа Delivery Unit для платформы SAP HANA.

 Польза от применения SafeERP Security Suite: 

• выявление случаев доступа ко критически значимым программным объектам;
• выявление небезопасного состояния настроек программного обеспечения и средств защиты; 
• выявление изменений контрольных сумм критически значимых программных объектов;
• выявление небезопасного состояния программного кода продуктивных SAP-систем; 
• выявление и контроль небезопасного состояния программного кода ABAP, предназначенного для переноса по ландшафту системы;
• централизованный сбор и просмотр настроек по части ИБ.

Системные требования SafeERP

Системные требования для обеспечения корректной работы комплекса будут различаться в зависимости от используемого модуля.

Для SafeERP CS EM необходимы следующие программные средства (минимальные): 

• 16-ядерный процессор с частотой не менее 2,5 ГГц;
• ОЗУ не менее 32 ГБ;
• жёсткий диск не менее 500 ГБ;
• сетевой адаптер с пропускной способностью не менее 1 Гбит/c;
• операционная система Debian 12, РЕД ОС 7.3, Astra Linux Special Edition 1.7.3 и выше;
• СУБД Jatoba 4.8.2, PostgreSQL;
• платформа 1С 8.2 и выше.

Модуль построен на микросервисной архитектуре, что обеспечивает возможность мультинодовой инсталляции, бесшовный пользовательский интерфейс, единую функциональную и информационную интеграцию модулей CS EM и PS EM, поэтапное внедрение, балансировку нагрузки, увеличение производительности. 

Для SafeERP PS EM: 

• 4-ядерный процессор Intel c частотой не менее 2,5 ГГц;
• ОЗУ не менее 8 ГБ;
• жёсткий диск объёмом не менее 100 ГБ;
• встроенный сетевой адаптер;
• ОС Linux x64 с поддержкой Docker.

Для SafeERP Security Suite: 

• процессор Intel c частотой не менее 1,5 ГГц;
• ОЗУ не менее 8 ГБ; 
• жёсткий диск объёмом не менее 150 ГБ; 
• SAP NetWeaver 7.5.

Соответствие SafeERP требованиям регуляторов 

SafeERP — сертифицированное российское решение, которое может использоваться для реализации мер защиты согласно приказам ФСТЭК России № 17, 21, 31, 239. 

Приказом Минцифры России от 18.03.2016 № 112 программный комплекс SafeERP внесён в Единый реестр российских программ для электронных вычислительных машин и баз данных под регистрационным номером программного обеспечения № 134.

SafeERP сертифицирован ФСТЭК России по уровню доверия 5 (сертификат ФСТЭК России № 4106 от 19 апреля 2019 года). 

Взаимодействие SafeERP с другими системами 

SafeERP интегрирован с системами мониторинга, управления информационной безопасностью и учётными данными: СУБД Jatoba (собственная разработка «Газинформсервис»), PostgreSQL, SIEM, CI / CD, IDM, SAP ATC, 1С, GIT. 

Имеется сертификат совместимости с SAP NetWeaver. 

Сценарии использования

Сценарии использования SafeERP Code Security Extension Module (CS EM)

После успешного входа в SafeERP пользователь видит основной интерфейс модуля статического анализа кода. Стартовой страницей является список проектов анализа кода, который содержит название и статус проекта, время последнего запуска, профили проверок, применённые в проекте, количество и названия языков программирования, количество итераций (запусков сканирования). 

В панели управления пользователю доступны для выбора следующие разделы: проекты, источники (список источников данных для анализа), профили (наборы проверок, в том числе создание собственных профилей), проверки (список сценариев, разграниченный по языкам и типам: стандартные и собственные проверки). 

Рисунок 4. Основной интерфейс модуля

Из основного интерфейса можно запускать проекты для анализа при помощи появляющихся кнопок управления, а также настраивать запуск в автоматическом режиме. После анализа пользователь получает результаты сканирования, которые можно увидеть в веб-интерфейсе или выгрузить в форматы PDF, XLSX. Результаты сканирования источника содержат список найденных уязвимостей, упорядоченный по степени критической значимости, с указанием участка программного кода, где найдена уязвимость, а также с рекомендациями по устранению недостатка, примерами кода и ссылками на стандарты (матрица MITRE, рейтинг CVSS). 

Рисунок 5. Результаты сканирования в веб-интерфейсе

Сценарии использования SafeERP Platform Security Extension Module (PS EM)

После аутентификации администратор может просматривать интерфейс управления проектами сканирования, поиска и эксплуатации уязвимостей. 

Рисунок 6. Главная страница

На главной странице можно создать новый проект для сканирования, в котором используются функциональные модули.  

За задачу выявления открытых портов отвечает модуль «Сканер портов», также есть отдельные модули «Сканер сервисов» и «Сканер публичных эксплойтов», «Пентест-модуль».

Рисунок 7. Создание проекта

После создания проекта появляется кнопка «Сканировать», которая позволяет перейти в раздел выбора агентов для сканирования и запуска процесса проверок. 

Рисунок 8. Созданный проект

Рисунок 9. Выбор сканирующих агентов

После запуска сканирования появляется всплывающее уведомление о начале сканирования выбранного проекта. Для просмотра журнала событий необходимо перейти в окно «Показать лог». В этом окне представлены результаты выполнения этапов сканирования.

Рисунок 10. Процесс выполнения этапов сканирования (лог)

После завершения сканирования на сервере управления генерируется отчёт о выявленных уязвимостях, с уровнями их критической значимости и рекомендациями по устранению. Отчёт доступен для просмотра в веб-интерфейсе и для скачивания в формате PDF. Возможно ознакомиться детально с каждым результатом сканирования. 

Рисунок 11. Результаты сканирования

Сценарии использования SafeERP Security Suite

В SafeERP Security Suite определены две основные роли: «admin» и «operator». Пользователь с ролью «admin» выполняет все настройки подключений к базам и другие административные задачи. Пользователи с правами «operator» могут только запускать проверки и просматривать результаты путём анализа отчётов.

Консоль управления для администратора безопасности позволяет контролировать состояние наблюдаемых систем, выполнять системные проверки (Audit), контроль соответствия стандартам (Compliance) и анализ программного кода. Для формирования регулярных отчётов проверки можно запускать по расписанию. 

Рисунок 12. Стартовая страница ПК SafeERP

После успешной аутентификации в SafeERP пользователь видит основной интерфейс SafeERP Security Suite. На стартовой странице — список 10 популярных уязвимостей, а также количество строк кода, уязвимостей всех типов и брешей высокого уровня. 

В боковом меню пользователю доступны для выбора следующие разделы: панель мониторинга, проекты, агенты (для создания проектов, доступно пользователю типа «Администратор»), ландшафт (графическое представление системы и данные по RFC-соединениям агента), профили (в том числе создание собственных профилей и проверок), администрирование (настройка ПК SafeERP, доступно пользователю типа «Администратор»), уведомление (просмотр действий в системе и изменений по стандартным проверкам). 

Для просмотра списка проектов в блоке «Панель мониторинга» необходимо выбрать агент и тип проекта (рис. 13).

Рисунок 13. Раздел «Панель мониторинга»

В блоке «Проекты» имеется возможность проводить анализ системы и кода. 

Для корректной работы модулей «Сканер» и «Анализ кода» необходимо, чтобы у агента была активирована основная лицензия.

Для анализа системы следует создавать проекты в подразделе «Сканер». Предоставляется возможность создания следующих типов проектов:

• контроль настроек (КН) — для поиска небезопасных конфигураций программного обеспечения;
• контроль целостности (КЦ) — для обнаружения изменения контрольных сумм программных объектов;
• объекты ограниченного доступа (ОД) — для анализа на наличие событий доступа к таким объектам;
• авторизации (АВ) — для анализа на наличие обращений к авторизациям;
• создание объектов (СО) — для отслеживания фактов создания новых объектов.

Для проектов типов «КН», «ОД» и «АВ» предоставляется возможность активации вкладки «Передача данных в SIEM». 

После анализа пользователю доступна выгрузка отчёта за итерацию для проектов типов «КН» (формат XLSX) и «КЦ» (формат ZIP). Для проектов типов «ОД», «АВ» и «СО» доступен просмотр историй итераций.

Текущее состояние объектов в проектах типов «КЦ», «ОД» и «СО» выводится в отдельном окне.

В подразделе «Анализ кода» пользователь может создать проект соответствующего назначения. Есть два типа таких проектов:

1. Анализ кода (АК) ABAP на наличие небезопасного содержимого.
2. Инвентаризация кода (ИК) по количественным характеристикам (состав пакета, пакеты, объекты, количество строк кода, количество метрик, частота запросов, количество комментариев в коде, доля комментариев, динамика изменения количества кода).

После анализа пользователю доступна загрузка отчёта на локальную машину в формате ZIP или TAR. Формат архива настраивается в модуле «Администрирование».

По результатам анализа типа «АК» пользователю предоставляется возможность просмотра найденных уязвимостей и рекомендаций по устранению в отдельном окне.

Рисунок 14. Раздел «Проекты»

В блоке «Агенты» (рис. 15) пользователь может создавать и редактировать агенты и их группы по определённому признаку (тип агента, задачи и др.), а также присваивать или обновлять лицензии.

Рисунок 15. Раздел «Агенты»

В блоке «Ландшафт» (рис. 16) пользователю доступен просмотр:

• графического изображения агентов и RFC-соединений, подключённых к серверу управления, 
• выбранного агента и подключённых к нему RFC-соединений, 
• списка RFC-соединений в системе,
• транспортной системы SAP в которых участвует агент и/или сервер управления.

Рисунок 16. Раздел «Ландшафт»

В блоке «Профили» можно просматривать стандартные и собственные профили, а также создавать и редактировать их.

Профили и проверки бывают следующих типов: стандартные (входят в комплект поставки) и собственные (создаются пользователем «Администратор»). 

Рисунок 17. Раздел «Профили»

В блоке «Администрирование» пользователь может настроить ПК SafeERP (рис. 18). Предусмотрен ряд подразделов: лицензии (активация, удаление и просмотр количества лицензий в системе), общие настройки ПК SafeERP и модулей «Сканер», «Анализ кода», «Ландшафт», «Панель мониторинга».

Рисунок 18. Раздел «Администрирование»

В блоке «Уведомления» можно просматривать действия пользователей ПК SafeERP и изменения в собственных профилях и проверках (рис. 19). 

В подразделе «Журнал событий» доступна фильтрация по следующим параметрам: дата события, пользователь, код события, источник, идентификатор проекта.

В подразделе «Обновление профилей» выводятся количественные (добавление новых проверок / нот, удаление проверок из профилей) и качественные (редактирование описаний проверок / нот, алгоритмов проверок) изменения. Предоставляется возможность перехода к списку проектов, в которых применяется модифицированный профиль.  

Рисунок 19. Раздел «Уведомления»

Выводы

Из-за особенностей своего функционирования ERP-система всегда является объектом повышенного интереса злоумышленников. Защита подобного ПО — современная необходимость. Подбирая защитное средство для системы такого класса, следует оценивать не только функции, но и доказанную совместимость, возможность быстрой интеграции в действующий контур и исполнение нормативных требований законодательства. При правильном подходе к выбору ПО можно быть уверенным, что ERP-система правильно настроена, а все предписанные политикой безопасности меры неукоснительно соблюдаются.  

SafeERP — современное отечественное ПО, обладающее всеми необходимыми сертификатами, представленное на рынке более пяти лет, позволяющее решать задачи по защите ERP-систем разных производителей. 

Достоинства: 

• Состоит в реестре отечественного ПО, имеет сертификат ФСТЭК России по 5-му уровню доверия.
• Имеется сертификат соответствия SAP AG.
• Модуль Security Suite реализован как дополнение (аддон) к SAP, что упрощает интеграцию с SAP-ландшафтом.
• Совместимость с другими языками программирования в CS EM и наличие сценариев проверки кода на качество позволяет использовать SafeERP не только сотрудникам отдела информационной безопасности, но и команде разработки. 
• В статическом анализаторе кода имеется возможность группировки всех найденных недостатков по уровню критической значимости с подсветкой кода, выгрузкой отчётов, ссылками на MITRE, рейтингом CVSS, примерами эксплуатации уязвимости и рекомендациями по устранению.
• Динамический анализатор кода в модуле PS EM позволяет быстро тестировать большое количество различных приложений и обнаруживать проблемы и уязвимости, которые могут возникнуть при использовании приложений в реальной среде.
• В условиях отсутствия поддержки SAP со стороны вендора SafeERP Security Suite позволяет обеспечить необходимый уровень защиты и контроля информации в SAP ERP.
• Возможность анализа кода напрямую из базы данных 1С, конфигурации 1С и GIT, транспортных запросов SAP. 

Недостатки: 

• После внедрения SafeERP может потребоваться обучение сотрудников.
• Для эффективной работы SafeERP необходимо правильно настроить его и подключить к выбранным системам и источникам. Если настройки сделаны неправильно, результаты могут быть неточными. 
• Статический анализатор кода не обнаруживает логические ошибки, проблемы связанные с использованием API или зависимостями.
• Динамический анализатор кода может не найти некоторые уязвимости, особенно если они связаны с другими аспектами системы, такими как сеть или база данных.