Training: SAP Security in Depth: Attack & Secure SAP systems - 2019 edition.

Descripción

¿Interesado en pentest sobre sistemas SAP? ¿Querés saber cómo se hacen? Y… ¿Cómo se protegen estos sistemas? Este training ya formó parte de ediciones anteriores de Ekoparty, pero este año viene completamente renovado.

¿Alguna vez pensaste en qué tan críticos son estos sistemas para tu organización? ¿Te diste cuenta que los parches de seguridad son aplicados generalmente tarde (si es que se aplican)? El 77% de los ingresos del mundo pasan por un sistema SAP. Sin embargo, la mayoría de veces, estos sistemas están fuera del alcance de un pentest tradicional.

Este curso desarrollará por qué es importante prestar atención a la seguridad de aplicaciones de negocio y cuáles son los riesgos de no hacerlo. Para ello, se seguirá un formato de estilo Pentest: se comenzará por una introducción a los componentes y cómo poder reconocer este tipo de sistemas. Más tarde (y la mayor parte del tiempo), estará dedicada a entender y ejecutar las diversas formas de atacar y proteger estos sistemas. Finalmente, se mostrarán técnicas de post explotación.

A lo largo de dos días, habrá mucho contenido práctico. Los alumnos tendrán que encontrar, evaluar y explotar este tipo de sistemas usando herramientas de acceso público. A su vez, aprenderán cómo defender y protegerse de estos ataques. Para esto, se contará con una plataforma con más de 20 ejercicios en forma de CTF (Capture The Flag) que tendrán que ir resolviendo a lo largo del curso.

Una vez terminado, los alumnos estarán listos para entender los riesgos más críticos a los cuales los sistemas SAP están expuestos y cómo evaluarlos. A su vez, conocerán las mejores prácticas para mitigar y proactivamente proteger sus plataformas de negocio.

Agenda

●      Introducción a SAP

●      Reconocimiento y Mapeo de sistemas

●      Atacando y protegiendo sistemas SAP

○      Amenazas y conceptos erróneos comunes

○      Seguridad del ambiente

■      SAP Router

■      SAP Web Dispatcher

○      SAP Gateway

○      SAP Message server

○      SAP ICM

○      SAP JAVA Applications

○      Seguridad de base de datos

■      SAP HANA

■      Oracle

○      SAP Management Console

●      Escalación de privilegios

○      Seguridad de usuario y passwords

○      SAP Solution Manager

●      Maintaining Access

○      Seguridad ABAP

○      SAP Backdoors

●      Forensia y Auditoría

●      Conclusiones

Conocimientos necesarios

●      Conocimiento general y básico en Seguridad Informática

●      Conocimiento básico sobre redes

●      Conocimiento previo sobre SAP no es necesario, pero sí bienvenido

Objetivos

●      Conocer los conceptos básicos de seguridad en plataformas SAP.

●      Descubrir cuáles son los principales riesgos que pueden afectar la seguridad de la plataforma y saber cómo protegerse frente a ellos.

●      Aprender cómo realizar evaluaciones técnicas de seguridad sobre sistemas SAP.

●      Aprender conceptos y guías para desarrollar un pentest a un sistema SAP.

●      Utilizar software de seguridad específico para evaluar la seguridad de sistemas SAP.

●      Obtener conocimiento práctico a través de los numerosos ejercicios en el laboratorio.

Equipamiento

●      Laptop personal (privilegios para instalar software).

●      Cliente SSH.

●      SAPGUI
* Si no traes tu compu, no es problema, habrá computadoras disponibles para los ejercicios.

Instructores

Gaston Traberg

Gaston Traberg posee varios años de experiencia en la búsqueda de vulnerabilidades y pentest, en diferentes plataformas y productos. Cómo Security Researcher en Onapsis su principal objetivo es la búsqueda de vulnerabilidades en ERPs, particularmente en SAP y

Oracle EBS y en menor medida investigar nuevas tecnologías para su incorporación en el producto como así también contribuir en la redacción de blogs entre otras cosas.

En su tiempo libre se dedica a desarrollar herramientas relacionadas a la seguridad o a hacer research sobre tecnologías varias.

Twitter: @_samelat

Matias Sena

Matías Sena lidera el equipo de Product Research en Onapsis, siendo miembro del Onapsis Research Labs. Su trabajo se centra en la generación de contenido para la detección de ataques y vulnerabilidades en sistemas SAP, con el objetivo de fortalecer los productos de la empresa. Adicionalmente, analiza parches de seguridad, busca vulnerabilidades y participa en webcasts y publicaciones, tales como "SAP Security In-Depth" y blog posts.

Twitter: @matiasesena

Pablo Artuso

Pablo Artuso es un investigador en seguridad en Onapsis. Está la mayor parte del tiempo dedicado a proyectos relacionados a pentests y búsquedas de vulnerabilidades en productos de SAP. En su tiempo libre, le gusta hacer CTF’s que incluyan retos de explotación web, ingeniería reversa y criptografía.

Twitter: @partu18

 ____________________________________________

Para inscripciones o recibir más información, consultanos a: capacitacion@ekoparty.org