Organizațiile nu respectă adesea cele mai bune practici de securitate atunci când implementează și administrează sisteme SAP complexe. Acest set de controale de securitate de la Cloud Security Alliance își propune să schimbe acest lucru.

Implementările SAP locale sunt notoriu complexe, cu personalizări extinse ale clienților, până la punctul în care chiar și modificările de configurație din motive de securitate ar putea necesita planificarea și testarea pe o lună de zile pentru a vă asigura că nu sparg nimic în mediu. Pe măsură ce mai multe companii își mută implementările ERP în cloud, au ocazia să se asigure că sistemele sunt configurate în siguranță.

Cloud Security Alliance (CSA), o organizație non-profit care dezvoltă și promovează cele mai bune practici de securitate pentru cloud computing, a lansat anul acesta un document de implementare în două părți pentru aplicațiile ERP din cloud care urmează 20 de controale critice de securitate. A doua parte a fost lansată luna aceasta, cu un accent și îndrumări privind implementările SAP, deoarece este unul dintre cele mai comune sisteme ERP.

„Eliberarea documentului vine într-un moment crucial, deoarece odată cu lovitura pandemiei, organizațiile au început să eficientizeze proiectele de transformare digitală și migrație în cloud, pentru a permite mai multor utilizatori și angajați să opereze din locații îndepărtate printr-o experiență digitală”, CSA a spus într-o postare pe blog. “În plus, odată cu creșterea activității de amenințare și a riscurilor care afectează aplicațiile ERP … acest document acoperă controalele care ar putea pregăti organizația pentru peisajul de amenințări în creștere de pe aplicațiile ERP. Sperăm că acest set de linii directoare servește ca o rampă pentru SAP administratori în călătoria lor către implementarea și securizarea soluțiilor lor ERP. “

Vulnerabilități și provocări SAP

Cercetătorii în materie de securitate găsesc de ani buni vulnerabilități grave în componentele SAP de bază și astfel de defecte au de obicei impact asupra tuturor aplicațiilor SAP pentru întreprindere care se bazează pe aceste componente pentru a funcționa. Deși găsirea vulnerabilităților într-o stivă de software atât de mare nu este neobișnuită, rezolvarea problemelor în timp util a fost o problemă pentru clienți.

Anul trecut, Agenția Statelor Unite pentru Securitate Cibernetică și Infrastructură (CISA) a emis o alertă după ce pe GitHub au fost lansate mai multe exploatări ușor de utilizat denumite 10KBLAZE. Exploatările vizează configurații nesigure în componentele SAP, dintre care unele erau cunoscute de peste un deceniu, dar au continuat să persiste în implementări, deoarece remedierea acestora ar putea cauza incompatibilități cu personalizările.

La acea vreme, firma de securitate ERP Onapsis, care efectuează evaluări de securitate pentru organizațiile mari, a estimat că problemele 10KBLAZE au afectat nouă din zece sisteme SAP desfășurate de peste 50.000 de utilizatori SAP din întreaga lume – aproximativ 900 de milioane de sisteme în total. Compania a avertizat, de asemenea, că găsește adesea aceste probleme de configurare chiar și în implementările SAP cloud, care nu au povara complexității implementărilor locale. Acest lucru sugerează că organizațiile nu respectă cele mai bune practici nici măcar atunci când implementează noi sisteme, ceea ce CSA speră să schimbe cu cele 20 de controale de securitate critice și îndrumările de implementare.

O altă vulnerabilitate critică în Java NetWeaver Application Server Java, care alimentează majoritatea aplicațiilor SAP, a ieșit la iveală în iulie. Denumit RECON (Cod exploatabil de la distanță pe NetWeaver), defectul avea un scor de severitate de 10 (maxim) și putea fi exploatat de atacatori prin HTTP fără autentificare pentru a compromite pe deplin sistemele. Cercetătorii au estimat că 40.000 de clienți SAP din întreaga lume ar putea fi afectați, peste 2.500 de sisteme vulnerabile SAP fiind expuse direct la internet.

Controalele de securitate ale CSA

Controalele de securitate critice ale CSA se concentrează pe aplicațiile bazate pe SAP NetWeaver și ABAP și sunt împărțite în mai multe categorii de implementare: aplicații, integrări, date, utilizatori și procese de afaceri. Pentru fiecare control, CSA oferă o descriere a controlului, amenințările pe care controlul este menit să le atenueze și o listă de verificare a pașilor pentru implementarea controlului respectiv. Unii pași ai listei de verificare conțin mai multe informații tehnice decât alții, în funcție de tipul de control pe care îl abordează. De exemplu, pașii de conformitate pentru afaceri sunt descriși mai general, în timp ce pașii de configurare securizată de bază includ acțiuni tehnice specifice SAP. Lista completă a controalelor este:

APP01 – Domeniu sigur

Domeniul securizat se referă la separarea sistemelor cu risc redus, cum ar fi dezvoltarea sau testarea de sistemele de producție, plasându-le în domenii diferite, cu controale de acces diferite, astfel încât, dacă un atacator câștigă acces la un sistem de dezvoltare, nu poate pivota către un sistem de producție.

APP02 – Configurări securizate de bază

Controlul configurării securizate de bază include pași pentru întărirea configurației componentelor critice, cum ar fi SAP Application Server, SAP HTTP Interface, SAP Gateway, SAP Message Server și SAP Management Console. Acestea sunt nucleul oricărui mediu SAP, iar configurațiile nesigure ar putea permite atacatorilor să ocolească alte controale bazate pe utilizatori sau roluri.

APP03 – Vulnerabilități de securitate

Controlul vulnerabilităților de securitate acoperă detalii despre modul în care SAP emite patch-uri de securitate și recomandări privind revizuirea și aplicarea acestora.

INT01 – Secure Integrations și API

Secure Integrations și controlul API abordează problemele de securitate care decurg din integrarea extinsă a aplicațiilor ERP cu aplicații externe și surse de date și includ recomandări precum autentificarea reciprocă între aplicații care utilizează certificate de client, utilizarea segmentelor de rețea DMZ separate, transmiterea cererilor printr-un firewall sau proxy de aplicație web și protejarea datelor în tranzit folosind cifre și protocoale criptografice puternice.

DAT01 – Monitorizare continuă

Monitorizarea continuă implică activarea capabilităților de înregistrare a aplicațiilor SAP și trimiterea acestora către un server centralizat pentru revizuire ulterioară utilizând un instrument SIEM, precum și punerea în aplicare a unui proces de răspuns la incidente atunci când sunt descoperite incidente. Unele dintre jurnalele obișnuite din aplicațiile SAP sunt Jurnalul de audit de securitate (prin tranzacția SM19), Jurnalul SAP Gateway (prin tranzacția SMGW), Jurnalul de modificare tabel SAP (prin activarea parametrilor rec / client și tranzacția SE13), jurnalul de acces HTTP (SMICM), jurnalul serverului de mesaje, modificarea documentelor și jurnalul de acces la citire.

DAT02 – Separarea datelor

Controlul separării datelor acoperă separarea datelor între diferitele peisaje ERP (dezvoltare, testare, producție etc.), precum și între chiriașii din medii cloud, astfel încât niciun utilizator să nu aibă acces atât la chiriașii de producție, cât și la cei care nu sunt de producție.

DAT03 – Criptare date

Controlul criptării datelor acoperă recomandări pentru securizarea datelor în repaus pe servere, permițând criptarea completă a discului la nivelul sistemului de operare; criptarea datelor în baza de date SAP HANA; definirea politicilor de guvernare a datelor; dispun de procese pentru menținerea, emiterea, revocarea și controlul accesului la chei și certificate de criptare a datelor; securizarea datelor în tranzit prin activarea protocolului SNC pentru aplicațiile SAP GUI și activarea comunicării securizate în SAP Web Dispatcher utilizând protocoale puternice și coduri criptate.

BUS01 – Inventarul activelor, datelor și proceselor de afaceri; BUS02 – Controale ale proceselor de afaceri; și BUS03 – Conformitate continuă

Controalele din categoriile Business Processes (BU) includ implementarea unui inventar de aplicații, date și procese pentru a avea o înțelegere clară și o singură sursă de adevăr despre ce date se află în fiecare aplicație și care sunt activele critice sau „bijuteriile coroanei” organizației. “

Un alt aspect important este punerea în aplicare a controalelor pentru a se asigura că privilegiile existente, în special cele ridicate, nu pot fi utilizate pentru a efectua activități frauduloase atunci când procesele de afaceri critice sunt efectuate în aplicațiile SAP. În cele din urmă, organizațiile ar trebui să identifice standardele de reglementare care au impact asupra datelor procesate de aplicațiile SAP și ar trebui să dezvolte controalele necesare pentru a asigura conformitatea cu aceste standarde. Aceasta include dezvoltarea procedurilor de testare automată pentru aceste controale și implementarea mecanismelor de alertă.

USR01 – Autentificare sigură

Acest control acoperă utilizarea protocoalelor de conectare unică, aplicarea politicilor de parolă puternice și utilizarea unor factori suplimentari în timpul autentificării. Protocolul de comunicație utilizat pentru autentificare ar trebui, de asemenea, să fie criptat și sigur împotriva atacurilor man-in-the-middle și reluare.

USR02 – Gestionarea conturilor de utilizator, USR03 – Control acces bazat pe roluri și USR04 – Acces de urgență

Gestionarea contului de utilizator în mediile SAP poate fi destul de complexă, deoarece aplicațiile SAP includ utilizatori impliciți precum SAP *, DDIC, TMSADM sau EARLYWATCH care nu ar trebui niciodată să fie configurați cu parole implicite, precum și utilizatori tehnici care nu ar trebui să fie configurați cu roluri generice sau profiluri precum SAP_ALL. Utilizatorii creați în clienții SAP ar trebui, de asemenea, să fie revizuiți pentru a vă asigura că au un scop comercial valid, că au fost creați conform recomandărilor de securitate și că au un angajat real asociat cu ei.

Aplicațiile SAP funcționează cu roluri de utilizator care pot fi combinate pentru a defini permisiunile atribuite utilizatorilor. Noilor utilizatori ar trebui să li se atribuie doar rolurile de care au nevoie pentru a-și îndeplini sarcinile zilnice de serviciu și ar trebui să fie monitorizați și auditați. Trebuie stabilit un proces astfel încât, atunci când angajații își schimbă poziția în cadrul organizației sau părăsesc organizația, autorizațiile și rolurile lor să fie actualizate. Politicile de acces de urgență ar trebui, de asemenea, să fie clar definite – cine poate face ce, când, unde și cum – cu responsabilități atribuite pentru modul în care un astfel de acces este acordat, monitorizat și încheiat. Accesul de urgență și privilegii mai mari ar putea fi necesare în timpul lipsei de personal suficient pentru realizarea anumitor sarcini sau în timpul defecțiunilor și erorilor sistemului.

USR05 – Segregarea atribuțiilor

Segregarea atribuțiilor (SOD) este un concept diferit de controalele de acces bazate pe roluri. Acesta își propune să se asigure că niciun proces nu este controlat de o singură persoană de la început până la sfârșit sau că sarcinile incompatibile, cum ar fi aprobările tranzacțiilor, contabilitatea și reconcilierea, nu ar trebui să fie efectuate de o singură persoană. Pentru a implementa acest principiu într-un mediu SAP, organizațiile pot utiliza metode bazate pe roluri sau metode bazate pe sarcini atunci când construiesc profiluri de utilizatori pe baza ierarhiei lor organizaționale și ar trebui să aibă procese în vigoare pentru a evalua riscurile eventualelor conflicte SOD și a le rezolva prin modificări la roluri sau prin controale suplimentare, cum ar fi recenzii și aprobări.

USR06 – Aprovizionare / Deprovizionare Sigură a Utilizatorilor

Aprovizionarea și deprovizionarea utilizatorilor ar trebui să se facă uniform în toate sistemele și peisajele SAP utilizând un sistem de gestionare a identității. Fiecare creație de utilizator, fie tehnică, fie funcțională, trebuie să aibă un motiv de afaceri valabil, iar organizațiile trebuie să se asigure că nu mai există conturi latente sau neadministrate în sisteme care ar putea fi utilizate în mod abuziv de potențiali atacatori.

USR07 – Securitatea conturilor ERP

Securitatea conturilor ERP ar trebui consolidată prin utilizarea autentificării cu mai mulți factori, prin obligativitatea parolelor lungi, prin analizarea comportamentului utilizatorului pentru a detecta locațiile și orele neobișnuite de conectare, implementarea conectării unice, limitarea accesului utilizatorilor din anumite rețele și asigurarea criptării jetoanelor de sesiune , aleatoriu și expiră la timp. Activitățile și tranzacțiile utilizatorilor ar trebui, de asemenea, să fie înregistrate în orice moment.

APP04 – Comunicații securizate, APP05 – Controale de gestionare a schimbărilor și APP06 – Extensii securizate

Acest set de controale ale aplicației ERP în cloud sunt concepute pentru a proteja comunicarea cu sistemul SAP, pentru a preveni modificările necontrolate și pentru a evita personalizarea nesigură prin utilizarea extensiilor.

„Fiecare implementare ERP este unică pentru fiecare organizație”, a spus Grupul de lucru ERP al CSA, care a elaborat liniile directoare. „În majoritatea cazurilor, organizațiile petrec luni, dacă nu ani, personalizându-și implementările SAP sau Oracle și cheltuiesc o sumă semnificativă de bani cu contractanți terți pentru a finaliza implementările. Acest lucru face ca măsurile standard de securitate să fie mai dificil de implementat datorită diferențelor dintre fiecare implementare. Odată cu complexitatea acestor mari implementări, combinată cu criticitatea datelor și proceselor adăpostite în aceste aplicații, este imperativ ca cele mai bune practici din industrie să fie stabilite pentru a oferi îndrumări de securitate companiilor care migrează în cloud pentru a proteja infrastructura critică a organizației. “

Sursa: https://www.csoonline.com/article/3586626/14-controls-for-securing-sap-systems-in-the-cloud.html