Auf Abruf
Folge II derDoku-Serie „Hacking & Defending SAP Applications“
Da Unternehmen zunehmend eine„Clean Core“-Strategieverfolgen, hat sich die Angriffsfläche der SAP-Landschaft in zwei unterschiedliche Bereiche aufgeteilt: die rasante Innovation bei SAP BTP und die tief verwurzelte Komplexität von ABAP-Eigenprogrammierungen. Die Sicherheit kann es sich nicht länger leisten, diese Bereiche als blinde Flecken zu behandeln. Eine einzige übersehene Schwachstelle in einer BTP-Anwendung kann zum Verlust Ihrer sensibelsten Daten führen; eine einzige fehlerhafte Zeile in ABAP kann einem böswilligen Entwickler die Schlüssel zum Königreich verschaffen.
In dieser Folge stellen wir zwei hochriskante Bedrohungsszenarien vor, die auf realen Vorfällen basieren und auf die sich jeder SAP-Kunde vorbereiten muss:
- Der BTP-Blindspot: Wirzeigen, wie ein harmloser Entwicklerfehler in einer benutzerdefinierten BTP-Anwendung – beispielsweise ein unsicherer API-Endpunkt oder eine fehlerhafte Authentifizierungsprüfung – zu einer offenen Tür zum Kern des Unternehmens wird. Sehen Sie, wie ein Angreifer diese Schwachstelle ohne jegliche Anmeldedaten ausnutzt, um sensible Unternehmensdaten unbemerkt abzugreifen.
- Das Trojanische Pferd: Wirtauchen tief in den ABAP-Kern ein, um zu zeigen, wie ein böswilliger Entwickler oder Auftragnehmer Standardprüfungen umgehen und eine ausgeklügelte Hintertür in ein ABAP-Programm einschleusen kann. Durch das Einfügen weniger Zeilen bösartigen Codes verschafft sich der Angreifer SAP_ALL-Rechte, die es ihm ermöglichen, Finanzdaten und Stammdaten in der Produktionsumgebung zu verändern und dabei Compliance-Kontrollen zu umgehen.
Sobald Sie verstanden haben, wie die Systeme angegriffen werden können, müssen Sie wissen, wie Sie dies verhindern können. Wir werden folgende Themen behandeln:
- So erkennen Sie Sicherheitslücken in BTP-Code bereits beim Schreiben und verhindern, dassunbeabsichtigte Sicherheitsrisikenüberhaupt den Schreibtisch des Entwicklers verlassen.
- So nutzen Sie die automatisierte Überprüfung von ABAP-Transporten, um zu verhindern, dass schädliche ABAP-Programme jemals in Ihre Produktionsumgebung gelangen.
- So führen Sie automatisierte Scans von Code „im Ruhezustand“ durch, um versteckte Hintertüren und Schwachstellen aufzudecken, die möglicherweise schon seit Jahren in Ihrem System schlummern.
Erfahren Sie, wie Sie Ihren Clean-Core-Strategie zu sichern, indem Sie sowohl anfälligen als auch bösartigen Code im gesamten BTP- und ABAP-Spektrum beseitigen.
Weitere Folgen entdecken
