Сегодня вряд ли кто-то поспорит, что ERP-система — один из самых ценных ИТ-активов практически любой компании. Одной из самых популярных в мире ERP-систем является SAP: она насчитывает более 180 тысяч клиентов по всему миру. Зачастую в качестве модуля управления персоналом используется SAP HCM.

Кадровая информация — лакомый кусочек для злоумышленника. Тут вам и персональные данные сотрудников (паспортные данные, семейное положение), и заработная плата, и банковские счета, и отработанное время. Доступ к подобной критической информации дает возможность получения финансовой выгоды или планирования дальнейших атак.

Долгое время безопасность SAP и разделение полномочий (SoD) воспринимались как тождественные понятия. Сегодня все больше внимания уделяется уязвимостям SAP Basis, протоколов взаимодействия. Однако опыт компании Positive Technologies по проведению тестов на проникновение и внедрение процессов защищенности и соответствия стандартам показывает, что большинство серьезных проблем возникают из-за суммы небольших недочетов, которые могут образоваться как на уровне разграничения доступа в SAP, так и на уровне системной и прикладной инфраструктуры решения.

В этой статье мы рассмотрим способы получения доступа к продуктивной системе и данным модуля SAP HCM, расскажем про основные приемы тестирования на проникновение SAP, которые могут пригодиться пентестеру. Зачастую, получив доступ к SAP, специалист по анализу защищенности не знает, что ему делать дальше и как продемонстрировать возможные последствия обнаруженных уязвимостей.

Сразу оговоримся, что наш рассказ посвящен способам получения доступа к SAP из внутреннего периметра. Безусловно, находясь за его пределами, также можно добраться до SAP-системы, но об этом мы поговорим в следующий раз.

< ... >