コンテンツにスキップ

SAPペネトレーションテスト🔗

サービス概要🔗

SAPペネトレーションテストの目的は、SAPシステムやその上に存在するデータが侵害される可能性があるか、またはどのように侵害されるかを実証することです。テストには、対象となるSAPシステム上のサービスの発見、脆弱なサービスや設定の弱点の悪用が含まれます。侵害が発生した場合には、特権昇格やSAP環境内でのラテラルムーブメントの試行も行います。目標は、これらのシステムの侵害につながる攻撃経路を特定し、脆弱性評価や監査では明らかにならないセキュリティ上の欠陥や弱点を明らかにすることです。

テストは、対象のSAPシステムに到達可能な内部ネットワーク上に設置されたリモートテストアプライアンス(RTA)を使用して実施されます。また、SAP GUIがインストールされ、関連する接続が事前設定されたWindowsホストもご用意いただき、コンサルタントがリモートで接続できるようにしてください。

サービス手法🔗

情報収集および発見

Secureworksは、バナーグラビングやその他の情報漏洩の脆弱性を通じて、利用可能な内部ネットワークを調査し、SAP関連のシステムやサービスを発見します。これには以下が含まれますが、これらに限定されません。

  • SAPアプリケーションサーバーに関する情報の収集
  • デフォルトクライアント(000、001、066)を含む利用可能なSAPクライアントの特定
  • アクセス可能な共有リソースの特定
  • SAPシステムのユーザーおよびそのワークステーションの特定の試行

脆弱性評価およびエクスプロイト

Secureworksは、対象範囲内のSAPシステムに対して認証なしの脆弱性評価およびエクスプロイトを実施します。評価には、情報収集や設定の弱点の悪用のためにRFCプロトコルを活用するツールの使用が含まれます。他にも以下のようなテストが行われる場合がありますが、これらに限定されません。

  • 弱い認証情報やデフォルト認証情報のテスト
  • ネットワークトラフィックを分析し、平文で送信される可能性のある機密情報の発見
  • データやバックエンドシステムへの意図しないアクセスにつながるアクセス制御や認可の問題のテスト
  • 公知の未修正脆弱性の悪用

エクスプロイト後および特権昇格

対象のSAPシステムで足場を得た後、Secureworksは、特権昇格やSAP環境内でのラテラルムーブメントを可能にする問題の特定を試みます。特権昇格や影響の実証のため、以下の手法が試行される場合があります。

  • SE16やSE38など、SAP内の機密トランザクションへのアクセス
  • USR02テーブルの流出およびブルートフォースによる平文パスワードの復元
  • 侵害された認証情報のSAPシステムやクライアント間での再利用のテスト
  • ABAP、AS JAVA、SMDAgentのセキュアストアの復号
  • ラテラルムーブメントを可能にする弱点がないかRFC宛先の評価

また、テスト中に侵害が発生しなかった場合、いわゆる「想定侵害(assumed breach)」として利用できるSAPテストアカウントをクライアント側でご提供いただくことも可能です。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様にご提供します。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品日から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了後、お客様指定の連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認通知が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

SAPペネトレーションテスト🔗

スコープ 説明
SAPペネトレーションテスト - 小規模 SAPシステムおよびそのサポートインフラストラクチャを対象とした内部ペネトレーションテスト