Przejdź do treści

Pentesty i audyty bezpieczeństwa SAP

Specjalistyczne testy penetracyjne SAP - ECC, S/4HANA, HANA, BTP, Fiori, HCM. Raport z oceną CVSS, planem remediacji i możliwością retestu. Dowód należytej staranności dla zarządu i audytora.

Co zyskuje Państwa organizacja?

Dowód należytej staranności

Regularne testy bezpieczeństwa systemów krytycznych są oczekiwane przez audytorów, zarząd i regulatorów. Pentest SAP pozwala udokumentować, że organizacja aktywnie identyfikuje i ogranicza ryzyka w środowisku SAP.

Wykrycie luk, zanim wykorzysta je atakujący

Systemy SAP obsługują krytyczne procesy finansowe, logistyczne, produkcyjne i kadrowe. Pentest pozwala wykryć podatności w autoryzacjach, integracjach, kodzie ABAP, konfiguracji HANA, Fiori i BTP, zanim staną się elementem realnego incydentu.

Konkretny plan remediacji z priorytetami

Raport nie jest wyłącznie listą znalezisk. Każde ryzyko opisujemy w kontekście wpływu biznesowego, poziomu krytyczności, priorytetu naprawy oraz rekomendowanego działania po stronie zespołów SAP, Basis, Security lub Development.

Retest po remediacji

Po wdrożeniu poprawek weryfikujemy, czy podatności zostały skutecznie usunięte. Bez retestu pentest łatwo staje się jednorazowym raportem, zamiast realnym elementem procesu poprawy bezpieczeństwa.

Zakres pentestu SAP

Pentest SAP ECC i S/4HANA

Testujemy autoryzacje, custom ABAP, RFC, IDoc, transport management, konfigurację bezpieczeństwa oraz konflikty Segregation of Duties. Zakres może obejmować testy whitebox, greybox lub blackbox.

Pentest SAP HANA i BTP

Sprawdzamy podatności SAP HANA, scenariusze SQL injection, konfigurację usług BTP, identity provider, SAP Cloud Connector oraz integracje API.

Pentest SAP Fiori i Portal

Testujemy SAP Fiori, SAP Portal oraz aplikacje UI5 w odniesieniu do OWASP Top 10 i specyfiki SAP. Zakres obejmuje między innymi JWT, CSRF, SAP Personas oraz podatności w niestandardowych interfejsach użytkownika.

SAP Code Vulnerability Analyzer

Skanujemy custom kod ABAP pod kątem podatności takich jak SQL injection, command injection, path traversal, hardcoded credentials oraz broken access control.

Audyt SoD i autoryzacji

Identyfikujemy konflikty Segregation of Duties, nadmiarowe uprawnienia, profile superużytkowników oraz ryzyka związane z SAP_ALL i krytycznymi transakcjami administracyjnymi.

Raport, remediacja i retest

Dostarczamy raport z oceną ryzyka, scoringiem CVSS, opisem podatności, proof of exploit, planem remediacji oraz rekomendacjami dla zespołów odpowiedzialnych za SAP. Po wdrożeniu poprawek możemy wykonać retest.

Jak prowadzimy projekt?

Pentest SAP zaczynamy od ustalenia zakresu: systemów objętych testem, typu testu - whitebox, greybox lub blackbox - oraz celów biznesowych i audytowych.

Następnie prowadzimy reconnaissance i mapowanie powierzchni ataku. Analizujemy punkty wejścia, integracje, role, autoryzacje, interfejsy, kod oraz konfigurację techniczną środowiska SAP.

W fazie testów weryfikujemy podatności, możliwość eskalacji uprawnień, dostęp do danych testowych, ryzyka w integracjach oraz wpływ wykrytych luk na procesy biznesowe.

Po zakończeniu testów przygotowujemy raport zawierający proof of exploit, scoring CVSS, plan remediacji, priorytety napraw oraz rekomendacje działań. Całość prowadzimy zgodnie z metodykami OWASP, SAP Pentest Framework oraz PTES.

Po wdrożeniu poprawek możemy przeprowadzić retest, aby potwierdzić skuteczność remediacji.

Stack technologiczny

SAP ECCSAP S/4HANASAP HANASAP NetWeaverSAP BTPSAP Fiori / UI5SAP Cloud ConnectorSAP Code Vulnerability AnalyzerBurp SuiteOWASP ZAPMetasploitPowerSAPPySAP

Certyfikacje zespołu w obszarze SAP Security, cyberbezpieczeństwa i systemów enterprise potwierdzają gotowość SNOK do realizacji pentestów SAP end-to-end.

Gdzie wdrażaliśmy podobne rozwiązania

Bank w sektorze finansowym

Pentest S/4HANA przed wejściem w produkcję, raport dla KNF oraz retest po wdrożeniu remediacji.

Operator infrastruktury krytycznej

Pentest ECC i HANA przed audytem NIS2, zakończony planem remediacji z priorytetami.

Producent przemysłowy

Roczny cykl pentestów SAP w trzech krajach, obejmujący regularną ocenę postępu i weryfikację skuteczności poprawek.

FAQ - Pentesty SAP

Czym pentest SAP różni się od klasycznego pentestu aplikacji? +

Pentest SAP wymaga znajomości specyfiki platformy: transakcji, autoryzacji SU01/PFCG, RFC, IDoc, ABAP, SAP HANA SQL, Fiori oraz integracji z systemami zewnętrznymi. Klasyczny pentest aplikacji webowej zwykle nie obejmuje tych wektorów.

Ile trwa pentest SAP? +

Standardowy pentest pojedynczego systemu, takiego jak ECC lub S/4HANA, obejmuje zwykle 3-4 tygodnie prac testowych oraz 1-2 tygodnie na przygotowanie raportu. W przypadku pełnego, wielosystemowego krajobrazu SAP projekt zajmuje zwykle 6-10 tygodni.

Czy pentest SAP może zakłócić produkcję? +

Nie powinien, jeśli zakres i środowisko testów są właściwie zaplanowane. Domyślnie pracujemy na środowisku QA lub Pre-Production z konfiguracją odzwierciedlającą produkcję. Testy produkcyjne realizujemy wyłącznie za zgodą klienta i w trybie non-disruptive.

Czy pentest wspiera spełnienie wymagań NIS2? +

Tak. Pentest SAP może wspierać spełnienie wymagań NIS2 w obszarze regularnej oceny bezpieczeństwa systemów krytycznych. Raport z oceną ryzyka, scoringiem CVSS, planem remediacji i retestem może stanowić dowód należytej staranności dla zarządu, audytu lub regulatora.

Skontaktuj się z nami