Pentest SAP ECC i S/4HANA
Testujemy autoryzacje, custom ABAP, RFC, IDoc, transport management, konfigurację bezpieczeństwa oraz konflikty Segregation of Duties. Zakres może obejmować testy whitebox, greybox lub blackbox.
Specjalistyczne testy penetracyjne SAP - ECC, S/4HANA, HANA, BTP, Fiori, HCM. Raport z oceną CVSS, planem remediacji i możliwością retestu. Dowód należytej staranności dla zarządu i audytora.
Regularne testy bezpieczeństwa systemów krytycznych są oczekiwane przez audytorów, zarząd i regulatorów. Pentest SAP pozwala udokumentować, że organizacja aktywnie identyfikuje i ogranicza ryzyka w środowisku SAP.
Systemy SAP obsługują krytyczne procesy finansowe, logistyczne, produkcyjne i kadrowe. Pentest pozwala wykryć podatności w autoryzacjach, integracjach, kodzie ABAP, konfiguracji HANA, Fiori i BTP, zanim staną się elementem realnego incydentu.
Raport nie jest wyłącznie listą znalezisk. Każde ryzyko opisujemy w kontekście wpływu biznesowego, poziomu krytyczności, priorytetu naprawy oraz rekomendowanego działania po stronie zespołów SAP, Basis, Security lub Development.
Po wdrożeniu poprawek weryfikujemy, czy podatności zostały skutecznie usunięte. Bez retestu pentest łatwo staje się jednorazowym raportem, zamiast realnym elementem procesu poprawy bezpieczeństwa.
Testujemy autoryzacje, custom ABAP, RFC, IDoc, transport management, konfigurację bezpieczeństwa oraz konflikty Segregation of Duties. Zakres może obejmować testy whitebox, greybox lub blackbox.
Sprawdzamy podatności SAP HANA, scenariusze SQL injection, konfigurację usług BTP, identity provider, SAP Cloud Connector oraz integracje API.
Testujemy SAP Fiori, SAP Portal oraz aplikacje UI5 w odniesieniu do OWASP Top 10 i specyfiki SAP. Zakres obejmuje między innymi JWT, CSRF, SAP Personas oraz podatności w niestandardowych interfejsach użytkownika.
Skanujemy custom kod ABAP pod kątem podatności takich jak SQL injection, command injection, path traversal, hardcoded credentials oraz broken access control.
Identyfikujemy konflikty Segregation of Duties, nadmiarowe uprawnienia, profile superużytkowników oraz ryzyka związane z SAP_ALL i krytycznymi transakcjami administracyjnymi.
Dostarczamy raport z oceną ryzyka, scoringiem CVSS, opisem podatności, proof of exploit, planem remediacji oraz rekomendacjami dla zespołów odpowiedzialnych za SAP. Po wdrożeniu poprawek możemy wykonać retest.
Pentest SAP zaczynamy od ustalenia zakresu: systemów objętych testem, typu testu - whitebox, greybox lub blackbox - oraz celów biznesowych i audytowych.
Następnie prowadzimy reconnaissance i mapowanie powierzchni ataku. Analizujemy punkty wejścia, integracje, role, autoryzacje, interfejsy, kod oraz konfigurację techniczną środowiska SAP.
W fazie testów weryfikujemy podatności, możliwość eskalacji uprawnień, dostęp do danych testowych, ryzyka w integracjach oraz wpływ wykrytych luk na procesy biznesowe.
Po zakończeniu testów przygotowujemy raport zawierający proof of exploit, scoring CVSS, plan remediacji, priorytety napraw oraz rekomendacje działań. Całość prowadzimy zgodnie z metodykami OWASP, SAP Pentest Framework oraz PTES.
Po wdrożeniu poprawek możemy przeprowadzić retest, aby potwierdzić skuteczność remediacji.
Stack technologiczny
Certyfikacje zespołu w obszarze SAP Security, cyberbezpieczeństwa i systemów enterprise potwierdzają gotowość SNOK do realizacji pentestów SAP end-to-end.
Bank w sektorze finansowym
Pentest S/4HANA przed wejściem w produkcję, raport dla KNF oraz retest po wdrożeniu remediacji.
Operator infrastruktury krytycznej
Pentest ECC i HANA przed audytem NIS2, zakończony planem remediacji z priorytetami.
Producent przemysłowy
Roczny cykl pentestów SAP w trzech krajach, obejmujący regularną ocenę postępu i weryfikację skuteczności poprawek.
Pentest SAP wymaga znajomości specyfiki platformy: transakcji, autoryzacji SU01/PFCG, RFC, IDoc, ABAP, SAP HANA SQL, Fiori oraz integracji z systemami zewnętrznymi. Klasyczny pentest aplikacji webowej zwykle nie obejmuje tych wektorów.
Standardowy pentest pojedynczego systemu, takiego jak ECC lub S/4HANA, obejmuje zwykle 3-4 tygodnie prac testowych oraz 1-2 tygodnie na przygotowanie raportu. W przypadku pełnego, wielosystemowego krajobrazu SAP projekt zajmuje zwykle 6-10 tygodni.
Nie powinien, jeśli zakres i środowisko testów są właściwie zaplanowane. Domyślnie pracujemy na środowisku QA lub Pre-Production z konfiguracją odzwierciedlającą produkcję. Testy produkcyjne realizujemy wyłącznie za zgodą klienta i w trybie non-disruptive.
Tak. Pentest SAP może wspierać spełnienie wymagań NIS2 w obszarze regularnej oceny bezpieczeństwa systemów krytycznych. Raport z oceną ryzyka, scoringiem CVSS, planem remediacji i retestem może stanowić dowód należytej staranności dla zarządu, audytu lub regulatora.