SAP Security in Depth

Workshop SAP Security in Depth

El mismo Workshop Dictado en Blackhat USA 2011 por primera vez en Chile!

¿Alguna vez se preguntó si su implementación de negocio crítica de SAP era segura? ¿Sabes cómo comprobarlo? ¿Ha imaginado cuál podría ser el impacto de un ataque a la plataforma principal de negocio ? ¿Sabe cómo evitarlo? Este curso es la respuesta a estas preguntas.

Durante muchos años, la seguridad de SAP ha sido sinónimo de "separación de funciones" o "seguridad en funciones y perfiles". Si bien este tipo de seguridad es obligatorio y de importancia absoluta, hay muchas amenazas que han sido hasta la fecha pasadas por alto y son aún más peligrosas, como la posibilidad de tomar el control remoto de todo el entorno SAP sin necesidad de poseer un usuario en algun sistema.
 

Este curso le ayudará a llenar este vacío de conocimientos, lo que le permite entender las amenazas y los riesgos involucrados y cómo mitigarlos. Usted visualizará todo el cuadro, desde la seguridad del medio ambiente y los portales de SAP de nivel de aplicación (SAProuter, Webdispatcher), a través de la evaluación y el endurecimiento de los sistemas operativos y bases de datos y su interacción con los sistemas SAP a la seguridad de la SAP de capa de aplicación: la autenticación, la seguridad de usuario, contraseña Políticas, subsistema de autorización, seguridad de interfaz, los conceptos de seguridad ABAP, el componente de Seguridad, Puertas traseras, auditoría, seguimiento y mucho más! Se presentaran muchos ejercicios prácticos, que le ayudará a captar rápidamente el conocimiento práctico. Usted aprenderá a evaluar la seguridad de una implementación de SAP y luego securizar las brechas de seguridad críticas que usted descubrió. Usted podrá aprender a utilizar diferentes herramientas de seguridad de SAP, así como Onapsis Bizploit, el primer ERP de código abierto Penetration Testing Framework.
 

La capacitación también proporciona una introducción rápida a los conceptos básicos de SAP, que permite a los profesionales no-SAP de seguridad para seguir el curso sin problemas.

EL CURSO CUENTA CON CONTENIDOS Y EJERCICIOS EXCLUSIVAMENTE DESARROLLADOS PARA EL CURSO, DONDE PODRÁ CONOCER LOS ULTIMOS ATAQUES Y AMENAZAS A SISTEMAS SAP, COMO REPLICARLOS Y MITIGARLOS.

 CONOCIMIENTOS NECESARIOS:
- No se requieren conocimientos previos de SAP.
- Conocimientos generales sobre networking y conceptos de seguridad.


OBJETIVOS:
- Conocer los conceptos básicos de seguridad en plataformas SAP.
- Descubrir cuales son los principales riesgos que pueden afectar la seguridad de la plataforma.
- Aprender cómo realizar evaluaciones de seguridad técnicas sobre sistemas SAP.
- Aprender cómo protejer los sistemas de las vulnerabilidades detectados, disminuyendo riesgos de espionage, fraude y sabotaje.
- Utilizar software de seguridad específico para evaluar la seguridad de sistemas SAP.
- Obtener conocimiento práctico a través de ejercicios en el laboratorio.

 

AGENDA:
Dia 1:
- Introducción a SAP
- Amenazas
- Onapsis Bizploit – The ERP Penetration Testing Framework
- Seguridad del Entorno
* Arquitectura Segura
* SAP Application Level Gateways
+ SAProuter
+ SAP Web Dispatcher
- Seguridad del SO y BD
* Seguridad de SAP en entornos Windows
* Seguridad de SAP en entornos UNIX
* Seguridad de SAP con MS SQL Server
* Seguridad de SAP con Oracle
- Seguridad de la Capa de Aplicación
* Mecanismos de Autenticación
* Seguridad de Usuarios

Dia 2:
- Seguridad de la Capa de Aplicación (cont.)
* Política de Contraseñas
* Sistema de Autorización
* Seguridad de las interfaces
* Seguridad del Sistema de Transporte
* (In)Seguridad ABAP
* Backdoors y Rootkits en SAP
* Seguridad de Aplicaciones Web (ITS, ICM, Portal)
- Monitoreo y Auditoria
* El Audit Security Log
* Audit Information System
* Software Opensource y Comercial
- Conclusiones
 

EQUIPAMIENTO:
- Laptop personal (privilegios para instalar software).
- Cliente SSH.
- SAPGUI