Bezpieczeństwo SAP: dlaczego SIEM nie wykrywa wszystkiego i jak mimo tego skupić się na incydentach SAP

Standardowy monitoring SIEM często nie wystarcza aby utrzymać pełne bezpieczeństwo SAP, ponieważ pewne specyficzne logi SAP oraz ich analiza nie są interpretowane i w konsekwencji, wzorce ataków nie zostają zidentyfikowane ani rozpoznane. Dlaczego należy mieć tę kwestię na uwadze, co mogą zrobić przedsiębiorstwa, aby zintegrować SAP z monitoringiem i dlaczego to kompleksowe zabezpieczenie może przynieść dodatkową wartość – na te pytania odpowiada Ralf Kempf (CTO Akquinet ES - producent SAST Suite) dla magazynu IT Management.

SIEM (Security Information and Event Management) ma na celu zapewnienie ochrony bezpieczeństwa środowisk IT dla przedsiębiorstw i organizacji. Połączenie Security Information Management (SIM) oraz Security Event Management (SEM) generuje analizę alertów bezpieczeństwa w czasie rzeczywistym. Zebranie, korelacja i analiza danych logów, komunikatów systemowych oraz alertów pozwala na identyfikację ataków, niecodziennych wzorców i niebezpiecznych trendów. Innymi słowy, SIEM dostarcza podgląd ważnych dla bezpieczeństwa zdarzeń w środowiskach IT wspierając proces spełniania wymagań prawnych oraz wewnętrznych polityk i zasad zgodności dla bezpieczeństwa IT. Zadania kluczowe: dostarczanie raportów dotyczących incydentów bezpieczeństwa jak na przykład pomyślne i błędne próby logowania czy złośliwe oprogramowanie oraz inne potencjalnie niebezpieczne działania. Następnie odbywa się przesłanie powiadomień w momencie gdy analiza wykaże czynność, która narusza zdefiniowany zbiór zasad i w konsekwencji stanowi potencjalny problem bezpieczeństwa.

Jak działa SIEM

Podczas gdy dane są konsolidowane w jednym miejscu, krytyczne aktywności mogą zostać wcześnie zidentyfikowane za pomocą wzorców analitycznych i trendów. Dane zebrane i zinterpretowane w czasie rzeczywistym oraz otrzymana informacja są zapisywane w formie niemodyfikowalnej. Powszechne źródła dla SIEM zawierają serwery, zapory, rutery, IPS (Intrusion Prevention System) oraz IDS (Intrusion Detection System). Ich dane są przekazywane do punktu centralnego gdzie zostają zapisane, znormalizowane, ustrukturyzowane oraz przeanalizowane. Analiza wykorzystuje zdefiniowane reguły, modele korelacyjne, machine learning oraz sztuczną inteligencję, celem wygenerowania zależności pomiędzy wpisami i identyfikacji anomaliów. W przeciwieństwie do innych środków bezpieczeństwa, w tym przypadku nie zapobiega się atakom z wyprzedzeniem, ale ich wpływ i rozprzestrzenienie się mogą zostać zredukowane na przykład poprzez alerty. Dodatkowo, takie alerty i zautomatyzowane raporty pozwalają na odpowiedzi na różnorodne ataki w czasie rzeczywistym jak i na późniejsze udokumentowanie incydentów bezpieczeństwa. Niestety, zasada ta jest mało skuteczna w systemach SAP.

ŚWIATY RÓWNOLEGŁE: SAP I SIEM

Sporo jest powodów, dla których między SIEM i SAP wynika sporo nieporozumień od samego początku: SIEM wywodzi się z klasycznej technologii sieciowej, na przykład z epoki DOS (Denial of Service) i Eternetu z wielkimi, samodzielnymi aplikacjami komputerowymi dla kont finansowych oraz zarządczych, controllingu i dla wielu innych, wszystkich niezależnych od siebie. W miarę gdy świat IT stawał się bardziej połączony, SIEM został wprowadzony, aby monitorować zdarzenia w warstwie sieciowej – zapytania o źródło informacji, kto ma do niego dostęp, co zostało uznane za poznane i co nie pasuje do założonych wzorców. W tym podejściu zbiór zasad jest kluczowy: są potrzebne do sprawdzania wystąpień w sieci i wyciągania wniosków dla bezpieczeństwa. Innymi słowy, narzędzia SIEM biorą pod uwagę infrastrukturę IT, a nie indywidualne aplikacje. Jednak w ubiegłych latach okazało się, iż aplikacje również powinny zostać wzięte pod uwagę, czy to Microsoft Dynamics czy narzędzia do planowania produkcji lub SPS (Strategic Project Solution) w produkcji. W przypadku SAP tutaj powstaje pewne „ale”: przecież SAP różni się znacznie od innych aplikacji również pod względem sieciowym. W SAP można wykonać wiele operacji, zarówno z rolami czy autoryzacjami i mając na uwadze aspekty bezpieczeństwa. Podczas gdy wiele mechanizmów jest podobnych do tych w IT, SAP posiada różnice w nomenklaturze i zbiorze zasad. W obszarze sprzętu sieciowego i pozostałych obszarów IT, SAP jest wirtualnie swoim własnym odrębnym światem z własnym językiem i dykcją. To właśnie dlatego wiele firm nadal oddziela grubą kreską SAPa od reszty obszaru IT.

SAP JEST IGNOROWANY PRZEZ SIEM – ALE NIE MUSI TAK BYĆ

Konwencjonalne narzędzia SIEM koncentrują się na identyfikacji niecodziennych zachowań wewnątrz infrastruktury. Jednak systemy SAP zostają często zignorowane. Jeśli nie został zapewniony dostęp do systemu SAP, SIEM jest w stanie zidentyfikować co najwyżej szum informacyjny z miliona linii logów. Nikt nie umie (i nie chce) tego interpretować). Innymi słowy, systemy SAP to martwy punkt dla większości narzędzi SIEM ponieważ nie zawierają one specyficznych dla SAPa wzorców sprawdzających. Oznacza to iż nie rozpoznają towarzyszących wzorów ataków i dlatego zespoły bezpieczeństwa nie wykrywają pewnych zagrożeń. Zdarzenia w systemach SAP mogą być niezauważalne na poziomie sieciowym.

Jedynym sposobem aby je zidentyfikować jest analiza samej aplikacji. Wynikiem tych problemów ze zrozumieniem częstokroć ignoruje się warstwę SAP, lub zajmuje się nią w ostatniej kolejności ponieważ prostsze jest zajmowanie się kwestiami, które się rozumie. Dlatego SAP jest często zaniedbywany w tej sferze: nawet firmy, które utrzymują bezpieczeństwo IT na wysokim poziomie i używają SIEM mają tendencję do ignorowania SAP, zarówno nieświadomie jak i intencjonalnie. Być może mają nadzieję, iż pracownicy SAP sami zajmą się weryfikacją lub że niekompletny SIEM będzie wystarczający lub może nie wiedzą o istnieniu możliwości zaradczych dla takich braków. CISO w przedsiębiorstwach, które korzystają z SIEM powinni zadać sobie pytanie: czy jestem pewien/pewna, iż poświęcam odpowiednią uwagę systemom SAP? Jeśli nie, powinni połączyć te dwa światy ponieważ jest to najrozsądniejsza rzecz jaką można w takiej sytuacji zrobić.

NAJLEPSZE Z DWÓCH ŚWIATÓW

Odkąd specjaliści sieciowi stworzyli wydajne narzędzia dostarczające przegląd sieci - mają tendencję do zapominania, że istnieją (oprócz ich własnego) inne światy. Osiągnięcie pełnej ochrony oznacza łączenie obu światów dla korzyści całego przedsiębiorstwa. To właśnie w takim momencie, oprogramowanie jak SAST SUITE wchodzi do gry. Oprogramowanie wyciąga zdarzenia z warstwy aplikacyjnej i transportów oraz tłumaczy je tak, aby środowiska SIEM mogły je zrozumieć. Wykrywanie ataków bazując na plikach logów i analizie ruchu sieciowego wymaga głębokiej wiedzy z zakresu potencjalnych ścieżek i wzorców, po których mogą nastąpić ataki. Inteligentne zarządzanie informacją jest niezbędne aby oszacować bezpieczeństwo danych tego rodzaju. Zdarzenia ważne dla bezpieczeństwa muszą zostać wyfiltrowane w oceanie danych i umiejscowione w odpowiednim kontekście.

Aby zidentyfikować ryzyka, SAST Security Radar nie tylko analizuje logi SAP, ale również integruje analizę konfiguracji i ról. SAST SUITE posiada funkcjonalności praktycznie out-of-the-box, która umożliwia przekazywanie informacji z SAP do istniejących SIEM, w których to informacje mogą być poddane dalszej analizie. Działa to zarówno w środowsiakch małych systemów SAP jak i niektórych większych globalnych środowisk klienckich, nawet z ponad 1000 systemów. Dodatkową korzyścią jest Security Dashboard: poprzez integrację z daleko sięgającym narzędziem SIEM, można skonsolidować wszystkie powiązane z bezpieczeństwem incydenty wykryte w systemach SAP S/4Hana z innymi obszarami IT. Dzięki temu SAP jest brany pod uwagę w SIEM a firmy mogą generować optymalne raporty bazujące na dashboardzie wyświetlające kompletny status bezpieczeństwa za pomocą jednego kliknięcia.

Ralf Kempf (CTO SAST SOLUTIONS)

Artykuł został oryginalnie opublikowany w magazynie it management magazine, Lipiec/Sierpień 2021 i jest dostępny na it-daily.nethttps://www.it-daily.net/leser-service

Niższe koszty w SAP: jak usunąć nieaktywnych użytkowników - optymalizacja licencji SAP

Poniższy wpis zawiera konspekt prac zrealizowanych dla jednego z Klientów SAST, którego głównym trzonem była optymalizacja autoryzacji i dostępu użytkowników realizowany był również remodeling koncepcji autoryzacji. Jednym z elementów wdrożenia była ocena zasadności czy wszystkie dostępy są rzeczywiście potrzebne, projekt zakładał również optymalizację licencji SAP. Takie przedsiewzięcia jak projekt reorganizacji autoryzacji i wdrożenia nowej koncepcji opłacają się gdyż skutkują klasyfikacją użytkowników i redukcją dostępów, co pociąga za sobą zredukowanie kosztów licencji SAP.

Co roku SAP przeprowadza audyt systemów Klientów i na tej podstawie często wymaga dodatkowej opłaty licencyjnej za nadmiarowych użytkowników. Wiadomo, że wszyscy aktywni użytkownicy dialogowi SAP mają wpływ na wysokość opłat licencyjnych. W tym kontekście “aktywni” oznacza ograniczenie czasowe ważności konta użytkownika, a nie blokadę administratora.

Zatem zmniejszenie liczby aktywnych master rekordów użytkowników ma bezpośredni i zauważalny wpływ na oszczędność kosztów. Wiele firm w ramach wątpliwości postanawia zostawić część aktywnych użytkowników z obawy przed tym, że codzienna praca może zostać zakłócona. Obawa jest rownież taka, że konkretny użytkownik może być nadal wykorzystywany jako user techniczny do obsługi np. jobów w tle. Pojawia się zatem oczywiste pytanie:

W jaki sposób można uzyskać wgląd w aktywność użytkowników w systemach SAP i w jaki sposób można efektywnie analizować różne rodzaje dostępy użytkowników?

Czy użytkownik jest aktywny? Brak konkretów

Obserwujemy widoczną tendencję pozostawiania aktywnych użytkowników w obawie przed tym, że ich usunięcie może mieć wpływ na przerwanie procesu biznesowego. Wynika to przede wszystkim z braku konkretnej wiedzy na temat korzystania (zarówno pośredniego jak i bezpośredniego) z master rekordów użytkowników.

Jeśli spojrzymy na znacznik czasu logowania użytkownika - nie będzie to precyzyjna informacja, biorąc dodatkowo pod uwagę skomplikowane środowiska (wielosystemowe), czy np. narzędzia webowe. Poziom skomplikowania takiej analizy wzrasta jeśli bierzemy pod uwagę połączenia RFC lub SOAP i ODATA - tu często brakuje i wiedzy i rozwiązań potrzebnych do tego, by skutecznie ocenić dostępy.

Analiza - możliwości i trudności

Jedną z opcji analizy wykorzystania transakcji jest ST03N (STAD - analiza transakcji biznesowych). Transakcja ta pozwala na analizę wykorzystania różnych typów komunikacji:

Rysunek 1 - Elementy menu system load monitor - click w Business Transaction Analysis
Rysunek 2 - Analiza transakcji biznesowych (STAD) - konfiguracja raportu
Rysunek 3 - Wybór opcji typów komunikacji
Rysunek 4 - rezultat listy analizy transakcji biznesowych

Analiza wskazuje którzy użytkownicy generują obciążenie systemu za pomocą konkretnego typu komunikacji. Z tych danych wynika oczywiście którzy użytkownicy są aktywni, ale jest pewne ograniczenie - dane dotyczą tylko określonego dnia. Do głębszej analizy potrzebujemy większego zakresu czasu, zwłaszcza, gdy potrzebujemy wyciągać daleko idące wnioski. ST03N pozwala na analizę transakcji i wywołania programów. Wystarczy tylko dwuklik, aby wyświetlić użytkowników, którzy korzystali z określonej transakcji lub programu ABAP.

Rysunek 5 - profil transakcji z widokiem użytkownika

Niewątpliwym wyzwaniem jest połączenie obu źródeł danych. Bez tego nie uzyskamy pełnego obrazu sytuacji. Standardowe narzędzia SAP dostarczą nam tylko źródła danych. Niestety nie mamy możliwości elastycznej analizy (na przykład dla indywidualnych użytkowników). Zatem dla uzyskania odpowiedniej informacji wymagana jest ręczna analiza i agregowanie danych.

Best Pratice - analiza wykorzystania transakcji za pomocą SAST

Przykład jednego z Klientów - mieszanka dostępów, przy braku konkretnej wiedzy odnośnie tego w jaki sposób użytkownicy wykorzystują transakcje. Podczas analizy przyglądaliśmy się ogólnym informacjom o dostępach - dotyczyło to wszystkich poziomów użytkowania (dialog, batch, RFC, http, itd…).

Dla optymalizacji czasu analizy wykorzystaliśmy funkcję SAST Suite pozwalającą na szczegółową analizę wykorzystania transakcji. Analiza ta została przeprowadzona dla wszystkich aktywnych użytkowników w oparciu o CCMS. Kompleksowo zostały przeanalizowane wszystkie poziomy komunikacji z systemem w dłuższym okresie niż jeden dzień. Dostarczamy tym sposobem również informacje o częstotliwości dostępów (klasyfikacja od A do D na rysunku 7 oznacza częstotliwość, których wartość jest opisana na rysunku 6).

Rysunek 6 - Wykorzystanie transakcji za pomocą SAST
Rysunek 7 - Rezultat analizy wykorzystania transakcji i ich częstotliwość (SAST)

25% nieaktywnych użytkowników - wymiernie niższe koszty

W tym przypadku analiza zawierała takie elementy jak:

W efekcie powyższego otrzymaliśmy informację o tym jacy użytkownicy nie pozostawili żadnego śladu aktywności w tym okresie - ci użytkownicy stali się zatem kandydatami do usunięcia. Jest to zatem bezpośredni przykład jak można zająć się optymalizacją licencji SAP.

Rezultat:

Procedura optymalizacji:

Faza 1 - Przygotowanie

- Przygotowanie projektu
- Instalacja SAST

Faza 2 - Analiza

- Ocena aktywności user master rekordów
- Połączenie danych
- Dokumentacja aktywności
- Koordynacja z administratorem

Faza 3 - Wykonanie

- Poinformowanie biznesu (odpowiednich departamentów)
- Usunięcie nieaktywnych UMR

Sporo informacji o naszym podejściu do zarządzania autoryzacjami SAP znajdziesz tutaj.

Oryginalny wpis pierwotnie ukazał się tutaj.

CZYTAJ POWIĄZANE ARTYKUŁY:


W świecie uprawnień SAP - zbiór pojęć

Podstawowy zbiór pojęć ze świata uprawnień SAP

Możemy się zgodzić co do tego, że jedną z najmniej komfortowych sytuacji na spotkaniu czy telekonferencji jest sytuacja, w której nasi rozmówcy posługują się żargonem lub słownictwem branżowym, którego nie znamy lub z którym z różnych względów nie zdążyliśmy się jeszcze osłuchać.

Dzieje się tak również w świecie uprawnień SAP.

Dlatego zebrałam dla Was podstawowe i najczęściej spotykane zagadnienia oraz elementy obszaru autoryzacyjnego.

A może taka lista przyda się początkującym adeptkom i adeptom świata autoryzacji SAP?

SAP słownik pojęć

Zagadnienia podaję wraz z ich odpowiednikami w angielskiej wersji językowej SAP.

Uprawnienie/Autoryzacja (ang. Authorization) najprościej ujmując, to, co użytkownik może wykonać na bazie przypisanych do swojego użytkownika ról i profili w SAP.
Mam uprawnienia = mogę działać na systemie.

Transakcja (ang. Transaction)funkcja SAP, którą wykonujesz działanie na systemie, np. SU01, MM03, XK02

Rola (ang. Role) –  tzw „worek” autoryzacyjny, zawierający elementy uprawnień zdefiniowane przez administratora uprawnień, który tworzył daną rolę. Samo stworzenie roli, nadanie nazwy i opisu nic nie daje, rola musi mieć wypełnione obiekty i musi zostać przegenerowana oraz przypisana użytkownikowi, aby uprawnienia działały.

Rola pojedyncza (ang. Single role)Rola zawierająca transakcje/obiekty uprawnień, po przegenerowaniu ma tylko jeden profil.

Rola zbiorcza (ang. Composite role)Rola składająca się z co najmniej dwóch ról pojedynczych, można ją inaczej nazwać zbiorem ról pojedynczych. Role zbiorcze często wykorzystuje się np. w przypadku tworzenia ról stanowiskowych czy procesowych.

Rola referencyjna (ang. Reference role)Inaczej zwana Rola wzorcowa (dla ról pochodnych), zawierająca transakcje, obiekty autoryzacji i poziomy organizacyjne. Potocznie zwana rolą „matką”. 😉

Rola pochodna (ang. Derived role)rola utworzona na bazie roli referencyjnej, zawiera te same transakcje/raporty/obiekty autoryzacji jak jej rola referencyjna jednak ma inne wartości w poziomach organizacyjnych. Wykorzystywane są np. przy rolloutach do kolejnych spółek danego przedsiębiorstwa. Potocznie zwana rolą „córką”. 😉

312 – magiczna liczba… oznacza maksymalną ilość liczby profili przypisanych do jednego użytkownika w SAP. Więcej się po prostu nie zmieści, a raczej system nie pozwoli przypisać i zachować zmiany.
Jeśli napotkacie taki problem to najpierw zastanówcie się, w którym momencie straciliście panowanie nad zarządzaniem uprawnieniami, czy na pewno wasz użytkownik potrzebuje tyle ról?
Czy je wykorzystuje? (Sprawdzić wykorzystywanie ról per użytkownik możecie sprawdzić narzędziem SAST Authorization Management.)

W następnym wpisie, który pojawi się za dwa tygodnie przedstawię kolejne pojęcia ze świata autoryzacji.

Jeśli czujecie, że w Waszej organizacji przydałoby się odświeżenie wiedzy lub szkolenie "od zera" w obszarze uprawnień SAP – zapraszamy do kontaktu.

Warsztaty możemy przeprowadzić w siedzibie klienta, w naszej siedzibie lub 100% w  sposób zdalny.

autor: Bernadeta Szwarc /Sast Polska Team/

kontakt: bernadeta.szwarc@lukardi.com
tomasz.jurgielewicz@lukardi.com

------------------------------------------------------------------------------------------------

WARTO PRZECZYTAĆ NA TEMAT BEZPIECZEŃSTWA SAP

System SAP – co to jest?

Zarządzanie przedsiębiorstwem obecnie staje się niemal niemożliwe bez stosowania zaawansowanych technologii informatycznych. Do najpopularniejszych narzędzi tego typu należy system ERP SAP. Znacznie ułatwia on prowadzenie firmy oraz podejmowanie decyzji przez kierownictwo, a co za tym idzie – daje managerom możliwość efektywnej pracy.

Co to jest system SAP?

Mimo złożoności systemu SAP, można go opisać w stosunkowo prosty sposób jako zintegrowany modułowy pakiet oprogramowania służący do analizowania oraz planowania zasobów przedsiębiorstwa. Składa się z szeregu aplikacji gromadzących, przetwarzających i analizujących dane z całej firmy

Został stworzony w latach siedemdziesiątych przez niemiecką firmę Systemanalyse und Programmentwicklung jako pierwsze tego typu oprogramowanie do zarządzania firmą.
W odniesieniu do samego systemu zamiennie z SAP używa się powszechnie nazwy ERP lub ERP SAP. Przez wiele lat głównym produktem SAP było oprogramowanie z zakresu SAP R3. Począwszy od 1995 roku, dostępne są także systemy SAP po polsku.

SAP – zrozumieć system ERP

Systemy ERP dotykają kluczowych kwestii związanych z funkcjonowaniem firmy: finansami, zasobami ludzkimi, logistyką i controllingiem; dla kilkunastu różnych branż stworzono ponadto dedykowane systemy SAP: PPOŻ, logistyczne, produkcyjne itp.

Aby ułatwić wdrożenie systemu SAP, dla początkujących stworzono wersję demonstracyjną. Daje ona doskonały wgląd w działanie narzędzia, jakim jest program SAP – demo zostało oparte na danych fikcyjnej firmy. Dzięki temu można bezpiecznie nauczyć się poruszać w systemie SAP – szkolenie nie wpływa bowiem w żaden sposób na funkcjonowanie organizacji.

Możliwości systemu SAP

Pełna modułowość oraz możliwość integracji rozwiązań SAP ERP w oparciu o jedną bazę danych daje możliwość wdrożenia z wykorzystaniem poszczególnych komponentów systemu i dopasowania ich do potrzeb danej firmy.

Dzięki korzystaniu z jednej bazy wgląd w dane każdego działu firmy oraz wykonywanie takich czynności jak np. wykonywanie analiz, zarządzanie listą płac, dbanie o rachunkowość, sprzedaż czy dostawy, jest możliwe z dowolnego miejsca, co znacznie poprawia płynność pracy w średnim lub dużym przedsiębiorstwie

Jak działa system SAP?

Dzięki systemowi SAP procesy zachodzące w firmie zostają zintegrowane – możliwe staje się tworzenie i edytowanie danych dla każdego sektora w tym samem czasie.

Integracja ta możliwa jest dzięki stworzeniu wspólnej bazy danych, która może być w tym samym czasie wykorzystywana przez wszystkie jej komórki. Każda może dokonywać własnych zmian w bazie, przez co wymiana informacji zostaje znacznie przyspieszona, a współpraca poszczególnych działów i pracowników – usprawniona i poprawiona.

H2 SAP – moduły

System zarządzania ERP może być dostosowywany do potrzeb danej firmy w zależności od profilu jej działalności. Obecnie dostępne są następujące moduły:

Praca w systemie SAP

Dzięki modułowej strukturze system ERP SAP jest rozwiązaniem, w którego ramach dana firma może zakupić wyłącznie te funkcje i komponenty, z których będzie naprawdę korzystać. Elementami systemu ERP, które również są elastyczne, a co za tym idzie – ułatwiające pracę – są także widoki, formatki, procesy biznesowe oraz szeroko pojęte funkcjonalności umożliwiające tworzenie dedykowanych rozwiązań.

SAP – rodzaje

SAP Księgowość

Dzięki modułowi księgowemu w SAP możliwe jest efektywne zarządzanie budżetem i majątkiem średniej lub dużej firmy, a co za tym idzie – kontrola nad jej płynnością finansową. Dzięki automatyzacji procesów księgowych sporządzanie sprawozdań jest szybkie i rzetelne.

SAP Logistyka

SAP TM (Transportation Management) stworzono dla obsługi logistyki; daje on możliwość wspomagania procesów sprzedaży i zaopatrzenia oraz dokładnego planowania wszelkich procesów logistycznych.

SAP Produkcja

Zapewnia elastyczność oraz efektywność produkcji dzięki jej planowaniu, kontroli oraz wdrażaniu. Technologia SAP oferuje pasujące do większości zakładów produkcyjnych metody oraz przepływy pracy.

SAP HR

Program SAP HR jest modułem mającym na celu wspieranie obszaru kadrowo-płacowego. Może on funkcjonować jako jeden z modułów w stosowanym w firmie systemie SAP, lub jako samodzielny system kadrowo-płacowy.

Oprogramowanie SAP – pytania i odpowiedzi

W świecie uprawnień SAP – zbiór pojęć

Znajomość SAP nie jest możliwa bez opanowania podstawowych terminów takich jak: transakcja (funkcja SAP, którą wykonywane jest działanie na systemie), rola (zbiór uprawnień stworzony przez administratora) czy uprawnienie (czynności, które użytkownik może wykonać w ramach przypisanej mu roli).

Zachęcamy do zapoznania się z tymi oraz innymi definicjami: SAP słownik pojęć

Bezpieczeństwo SAP – od czego zacząć?

Aby oprogramowanie SAP było całkowicie bezpieczne, kluczowa jest jego odpowiednie skonfigurowanie przez klienta i dostosowanie wszystkich parametrów do indywidualnych potrzeb. Wiąże się to także z dbałością o odpowiedni zakres uprawnień użytkowników SAP ERP. System musi być także odpowiednio monitorowany, co wiąże się m.in. z zasadą utrzymywania dwóch par oczu przy realizacji krytycznych procesów.

Więcej: Od czego zacząć bezpieczeństwo SAP?

Jak zadbać o bezpieczeństwo SAP w trzech krokach?

Pierwszym krokiem powinno być wyczyszczenie zbędnych uprawnień SAP_ALL – na początek najlepiej zabrać je wszystkim użytkownikom. Następnie trzeba zadbać o to, by nadać je wyłącznie tym użytkownikom, którzy naprawdę potrzebują takich uprawnień w swojej pracy. Trzecim krokiem będzie przypisania audytora, którego zadaniem będzie akceptowanie uprawnień oraz weryfikacja działań w obrębie systemu SAP i ocena, czy nanoszone zmiany były konieczne.

Więcej: Jak zadbać o bezpieczeństwo SAP?

Czym są noty SAP?

Mianem not SAP określane są niewielkie aktualizacje oprogramowania zawierające korekty kodu z opisami problemu. Mogą także, jako element wsparcia, nie zawierać korekt lub aktualizacji, dokumentując występujący w systemie problem. Pula ta jest nazywana także artykułami bazy wiedzy.

Więcej: Noty SAP?

Automatyzacja analizy systemu dzięki skryptom SAP GUI

System informatyczny SAP daje możliwość zautomatyzowania powtarzalnych procesów. Odbywa się to dzięki skryptom SAP GUI pisanych w języku VBA (Visual Basics for Applications), pozwalającym na nawiązanie sesji z SAP GUI i wykonywanie na nim operacji.

Co ważne, aby pisać skrypty, nie trzeba znać języka VBA. Dzięki opensource'owej bibliotece Automagica te same działania na skryptach mogą być wykonywane za pomocą Pythona.

Więcej: Automatyzacja analizy systemu dzięki skryptom SAP GUI

Niższe koszty w SAP: jak usunąć nieaktywnych użytkowników – optymalizacja licencji SAP

Każdego roku przeprowadzane są audyty należącego do klienta systemu SAP. Co to w praktyce oznacza dla firmy? Często nakładane są dodatkowe opłaty licencyjne za nadmiarowych aktywnych użytkowników - przy czym aktywność wiąże się tutaj z ograniczeniem czasowym ważności konta użytkownika.
Z tego powodu ograniczanie na bieżąco liczby aktywnych użytkowników przekłada się na koszty wykorzystywania SAP System.

Więcej: Niższe koszty w SAP: jak usunąć nieaktywnych użytkowników – optymalizacja licencji SA

Bezpieczeństwo SAP

Aby oprogramowanie SAP funkcjonowało w sposób bezpieczny, istotne jest odpowiednie zarządzanie matrycą konfliktów uprawnień, która pozwala na identyfikację już istniejących konfliktów oraz ocenę ryzyka dzięki weryfikacji dostępów użytkowników. Skuteczna polityka tych dostępów jest kluczowa dla zabezpieczenia środowiska SAP przed ryzykiem związanym bezpośrednio z działaniem użytkowników.

Więcej: Bezpieczeństwo SAP

Co powinna zawierać koncepcja uprawnień SAP

To zależy od przedsiębiorstwa; można jednak wyróżnić cztery głównie rdzenie koncepcji uprawnień:

Więcej: Co powinna zawierać koncepcja uprawnień SAP

Monitoring zachowania użytkowników SAP

Monitorowanie aktywności użytkowników pozwala uporządkować możliwości potencjalnych nadużyć. Aplikacje SAP wspierają tym samym zarządzanie ryzykiem, podnosząc poziom bezpieczeństwa. Do najważniejszych elementów należy tutaj monitorowanie wyświetlania danych osobowych, zapisywania plików oraz wykorzystywania transakcji.

Więcej: Monitoring użytkowników SAP

Czy zbyt duże uprawnienia dla użytkownika SAP stanowią zagrożenie?

Tak – w ten sposób stwarza się ryzyko przypadkowej ingerencji w dane, do których dany użytkownik ma niepotrzebny dostęp, co z kolei przysparza innym osobom pracy związanej z ich korektą. Oczywiście stwarza się też w ten sposób ryzyko celowych nadużyć.

Więcej: Zbyt duże uprawnienia dla użytkownika SAP

SAST to najlepsze zabezpieczenie dla SAP?

Według raportu KuppingerCole Leadership Compass liderem wśród rozwiązań do zarządzania bezpieczeństwem jest SAST GRC Suite. Wpływa na to przede wszystkim jego zaawansowanie i kompleksowość. W skład tego oprogramowania wchodzą moduły, które mogą być łatwo zintegrowane z programem SAP, dostarczając wszystkie funkcjonalności niezbędne do zabezpieczania systemu.

Więcej: Czy SAST to najlepsze zabezpieczenie SAP?

Luka bezpieczeństwa powodem cyberataku

Program SAP musi być aktualizowany zgodnie z dostarczanymi patchami z grupy SAP Security Notes. Od kilku lat znana jest luka bezpieczeństwa, której zaniedbanie doprowadziło już do cyberataku na kilkadziesiąt firm. Aby uniknąć takich sytuacji, konieczne jest używanie SAP Security Note 1445998 i wyłączenie Invoker Servlet.

Więcej: Jaka luka bezpieczeństwa pozwoliła przejąć 36 systemów SAP

Koszty licencji SAP – jak je optymalizować?

Kluczowe w tym przypadku jest regularne sprawdzanie użytkowników ERP SAP i usuwanie tych nieaktywnych. Można tego dokonać np. dzięki wykonaniu raportu RSUSR200 i uzyskania w ten sposób listy użytkowników wraz z datą ich ostatniego zalogowania, lub korzystając z przeznaczonych do automatycznej optymalizacji licencji narzędzi wspierających administrację.

Więcej: Koszty licencji SAP – jak je optymalizować?

Czy bezpieczeństwo SAP powinno być priorytetem dla organizacji?

Infrastruktura IT oraz rosnące poziomy zagrożeń są czynnikiem bezpośrednio wpływającym na bezpieczeństwo organizacji. Z tego powodu bezpieczeństwo SAP powinno być priorytetowe dla każdej firmy, która korzysta z SAP Program.

Więcej: Czy bezpieczeństwo SAP powinno być priorytetem dla organizacji?

Audyt bezpieczeństwa systemów SAP

Audyt bezpieczeństwa jest wieloetapowym procesem, rozpoczynającym się od stworzenia planu i analizy krytycznych aspektów bezpieczeństwa. Następnie system jest przygotowywany pod kątem technicznym poprzez import transportów SAST. Po skonfigurowaniu narzędzi tworzone i analizowane są raporty kontrolne, na podstawie których powstaje dokumentacja z wynikami oraz rekomendacjami zmian. Dzięki temu możliwe jest opracowanie oraz wdrożenie planu naprawczego.

Więcej: Audyt bezpieczeństwa systemów SAP

Jak stworzyć hasło, aby system SAP był bezpieczny?

Podstawową zasadą jest: dłuższe hasło jest zawsze bezpieczniejsze. Dodatkowo należy zwracać uwagę na siłę hasła – pomaga w tym określenie, ile musi się w nim znaleźć liter, a ile cyfr. Warto także kłaść nacisk na jakość hasła (duże i małe litery) oraz określić, ile znaków musi zostać zmienionych przy ustalaniu nowego hasła przez użytkownika.

Więcej: Jak stworzyć hasło aby system SAP był bezpieczny?

Jak zdefiniować koncepcje autoryzacji?

Definiowanie koncepcji autoryzacji wymaga zebrania szeregu informacji takich jak opisy podziału funkcji między działami IT oraz biznesowymi, określenie typów użytkowników i opisanie ról dla ich konkretnych grup, wraz z rekomendacjami i wymaganiami.

Koncepcja musi zawierać także dane o użyciu repozytorium i ról HDI, korzystaniu z autoryzacji i ustawień dla weryfikacji bazy SAP HANA oraz opis metod dostępów. Musi uwzględniać także ewentualne wymogi prawa, np. RODO.

Więcej: Jak zdefiniować koncepcje autoryzacji w SAP?

CZYTAJ WIĘCEJ ARTYKUŁÓW:


Automatyzacja powtarzalnych procesów dzięki RPA

RPA (Robotic Process Automation) czyli Zrobotyzowana Automatyzacja procesów to rozwiązanie, o którym pisał Filip w poprzednim artykule pt. 'Automatyzacja analizy systemu dzięki SAP GUI'.

Dla przypomnienia: jest to rozwiązanie oferujące zminimalizowanie manualnych czynności przy powtarzalnych, mało wymagających procesach jak logowanie, określania danych do pobrania, pobieranie danych i łączenie tych czynności z różnych aplikacji i systemów.

Przedstawiamy Wam krótkie video, które pokazuje użycie RPA w przypadku połączenia sił z narzędziem do zarządzania ryzykiem w SAP czyli SAST GRC:

Dobrze, zatem co się zadziało?

1. Został uruchomiony skrypt.
2. Skrypt loguje się do systemu SAP.
3. Następuje przejście do transakcji /n/sast/us_user_activ czyli transakcji, która wywołuje raport „tcode usage by user”. Wygenerowany raport wyświetla transakcje używane przez użytkownika w wybranym okresie.
4. Skrypt wpisuje dane do wyświetlenia w raporcie oraz wybiera wykonanie.
5. Pobiera tabelkę do excela.
6. Wraca do SAP, wywołuje transakcję /n/sast/us_exec_sod czyli transakcję, która wywołuje raport „Used SoD conflicts”. Raport ten wyświetla konflikty SoD z faktycznie wykonanych przez użytkownika transakcji konfliktowych.
7. Ponownie wypełnia dane do raportu i wybiera wykonanie.
8. Zostaje wygenerowana kolejna tabela do excela.
9. Skrypt zaczytuje oba pliki excelowe, przetwarza ich dane i zwraca na końcu listę transakcji dialogowych, które zostały przez danego użytkownika wykorzystane i brały udział w kolizji SoD.
10. W przypadku naszego scenariusza wyrzuca jedynie transakcję SU01, gdyż tylko ta transakcja była używana testowo oraz transakcja SU01 została zdefiniowana jako konfliktowa sama w sobie.

Jakie mamy plusy użycia takiego skryptu?

Na pewno zaoszczędzamy czas na przeklikiwanie się przez raporty i manualne weryfikacje konfliktów. Skrypt robi całą tą pracę za nas. Jednak warto mieć na uwadze iż na samym końcu, osoba odpowiedzialna za administrację uprawnień powinna zapoznać się z finalnymi danymi, przeanalizować ryzyko i podjąć stosowne decyzje co do zaistniałego konfliktu.

autor: Bernadeta Szwarc i Filip Starobrat/Sast Polska Team/

------------------------------------------------------------------------------------------------

WARTO PRZECZYTAĆ RÓWNIEŻ NA TEMAT BEZPIECZEŃSTWA SAP:

Automatyzacja analizy systemu dzięki skryptom SAP GUI

Skrypty SAP GUI

SAP umożliwia automatyzację powtarzalnych procesów dzięki odpowiednio pisanym skryptom.
Aby możliwe było ich uruchomienie na systemie, należy odpowiednio przygotować środowisko:

Tworzenie skryptów SAP GUI

Standardowo skrypty SAP GUI pisane są w języku VBA (Visual Basic for Applications). VBA pozwala na nawiązanie sesji z SAP GUI, a następnie wykonywanie na nim odpowiednich operacji. Taki skrypt składa się z linii odnajdujących odpowiedni element w SAP GUI według jego z góry ustalonej ścieżki, a następnie wykonanie na takim elemencie akcji, np. wpisanie tekstu lub kliknięcie przycisku.

Przykładowo ścieżka może wyglądać w następujący sposób:

wnd[0]/tbar[0]/okcd

Pierwszym elementem jest wnd (okno). Indeks zerowy oznacza główne okno aplikacji, kolejne indeksy mogą być na przykład pop-upami pojawiającymi się po wykonaniu jakichś działań. Po znaku ‘/’ znajduje się tbar[0], który jest pierwszym paskiem narzędzi w SAP GUI. Po kolejnym znaku ‘/’ znajduje się już konkretny element, w tym przypadku okcd, który jest polem, do którego wpisuje się TCODE.

Automagica

Czy w takim razie, do pisania skryptów do SAP GUI trzeba się nauczyć języka VBA? Odpowiedź brzmi: nie. Z pomocą przychodzi nam opensource’owa biblioteka Automagica. Automagica pozwala na wykonywanie tych samych działań na SAP GUI przy pomocy języka Python.

Oprócz obsługi SAP GUI, Automagica pozwala także na wykonywanie ruchów myszką, korzystanie z Microsoft Excel, wysyłanie maili i wiele innych.

Zastosowanie

Dzięki bibliotece Automagica, możliwe jest zautomatyzowanie wielu powtarzalnych procesów.

Przykładowo, w połączeniu z narzędziem SAST można zautomatyzować analizę transakcji wykorzystywanych przez użytkownika. Automatycznie można uruchomić przeznaczoną do tego funkcjonalność SAST, a następnie pobrać dane do Excela. Poniżej znajduje się przykładowy kod, który to realizuje:

#init SAPGUI
sap = SAPGUI()
#login
sap.login(sap_system_name, sap_mandant, sap_username, sap_pass)

#enter tcode
sap.set_text('/app/con[0]/ses[0]/wnd[0]/tbar[0]/okcd’, '/n/sast/us_user_activ')
#run transaction
sap.click('/app/con[0]/ses[0]/wnd[0]/tbar[0]/btn[0]')

#input user name
sap.set_text('/app/con[0]/ses[0]/wnd[0]/usr/ctxtSO_USER-LOW', 'suspect')
#execute
sap.click("/app/con[0]/ses[0]/wnd[0]/tbar[1]/btn[8]")

#result to spreadsheet
sap.click("/app/con[0]/ses[0]/wnd[0]/tbar[1]/btn[46]")
sap.click("/app/con[0]/ses[0]/wnd[0]/tbar[1]/btn[43]")
press_key('enter')
sap.click("/app/con[0]/ses[0]/wnd[1]/tbar[0]/btn[11]")

Następnie taki skrypt mógłby uruchomić kolejną funkcjonalność SAST, pokazującą wykorzystane przez tego samego użytkownika konflikty SoD i pobrał je do kolejnego pliku Excela.

Na końcu, operując już na samym tylko Excelu, skrypt mógłby wykonując operacje na komórkach wygenerować ostateczny raport o skonfliktowanych transakcjach w formie umożliwiającej zespołowi autoryzacyjnemu w wygodny i przejrzysty sposób przejrzenie konfliktów i podjęcie decyzji o odebraniu uprawnień lub mitygacji konfliktu.

autor: Filip Starobrat/Sast Polska Team/

------------------------------------------------------------------------------------------------

CZYTAJ TAKŻE:

Jak zdefiniować koncepcje autoryzacji?

Jak zdefiniować koncepcje autoryzacji?

SAP HANA to koncepcja szybkiego dostępu do danych in-memory. Pozwala ona na analizę dużej, często niezagregowanej, ilości danych, w sposób o wiele szybszy niż w pozostałych bazach danych. Obsługa danych w SAP HANA różni się znacznie od tej, którą znamy z SAP NetWeaver. Posiada swój własny system do zarządzania użytkownikami i autoryzacjami.

Architektura bezpieczeństwa SAP HANA

Koncepcja autoryzacji zaimplementowana w bazach SAP HANA bazuje na autoryzacjach.
Szyfrowanie SSL powinno być skonfigurowane na każdym z trzech typów połączeń:

  1. połączenie klienta i bazy SAP HANA
  2. wewnętrzne połączenia pomiędzy komponentami SAP HANA
  3. połączenie do data center (na przykład backup z użyciem SAP HANA System Replication)

SAP HANA pozwala również na logowanie krytycznych zdarzeń, takich jak zmiany na użytkownikach, rolach, uprawnieniach oraz zmiany konfiguracji i nieprawidłowe logowania. Dodatkowo logowane są odczyt i zapis danych (na przykład via tabele) oraz uruchomienia. Dostępny jest również pewien rodzaj logowania awaryjnego.

SAP HANA - Zarządzanie autoryzacjami i użytkownikami

Baza danych SAP HANA rozróżnia 3 typy użytkowników:

Operacje na SAP HANA dla tych użytkowników wymagają odpowiednich uprawnień. Można przypisywać uprawnienia bezpośrednio do użytkowników lub grupować je ze sobą w role.


SAP HANA - Uprawnienia

Podstawowa zasada - dostęp dozwolony jest tylko wtedy, gdy odpowiednie uprawnienia zostały użytkownikowi udzielone. Tak zwana pozytywna autoryzacja.

Żadne autoryzacje w SAP HANA nie są za to negatywne, czyli nie istnieje sposób, dla których użytkownikowi BLOKUJEMY jakiekolwiek dostępy. Dokładnie tak jak w SAP NetWeaver - autoryzacje są jedynie addytywne.

Są trzy typy uprawnień:


Role SAP HANA

W SAP HANA role są zbiorem uprawnień (lub w niektórych przypadkach zbiorem ról). Role mogą być dziedziczone (zagnieżdżone). Pozwala to dokładnie odwzorować role biznesowe w koncepcją autoryzacji.

Aby zarządzać rolami, powinieneś zawsze pracować w Repozytorium HANA i tworzyć role jako obiekty design-time (role Repozytorium), które później przetransportujesz. Po przetransportowaniu, rola jest aktywowana automatycznie. Tylko te role runtime’owe (role katalogowe) mogą być przypisane.


Koncepcja autoryzacji - Ramy i podstawy

Udzielenie dostępów do obiektów SAP HANA odbywa się standardowo poprzez przypisanie autoryzacji. Ramowa koncepcja określa zasady przypisania uprawnień i ról. Koncepcja taka to gwarant bezpieczeństwa (pod warunkiem, że będą istnieć odpowiednie mechanizmy weryfikujące jej przestrzeganie).

Ramowa koncepcja pomaga poprawić poziom bezpieczeństwa IT przez wdrożenie odpowiednich polityk dostępów. Dlatego ramowa koncepcja autoryzacji powinna odpowiadać na następujące pytania:

Koncepcja ramowa musi posiadać następujące informacje:

  1. opis podziału funkcji pomiędzy administracją IT, a działami biznesowymi
  2. opis typów użytkowników (standard i restricted)
  3. obsługę użytkowników SYSTEM
  4. użycie takich użytkowników jak:

5. opis ról dla konkretnych grup użytkowników

6. opis ról z rekomendacjami i wymaganiami:

7. użycie repozytorium i ról HDI

8. korzystanie z autoryzacji:

9. ustawienia dla weryfikacji bazy SAP HANA:

10. opis metod dostępów

Dodatkowo (opcjonalnie) można opisać użycie użytkowników awaryjnych oraz dostęp LDAP (jeśli jest). Również należy uwzględnić ewentualne wymogi prawne (takie jak RODO).

Jeśli chcesz dowiedzieć się czegoś więcej o SAP HANA i zarządzaniu autoryzacjami - zapraszamy.


autor:
Tomasz Jurgielewicz /Sast Polska Team/
kontakt: tomasz.jurgielewicz@lukardi.com

————————————————————————————————

WARTO PRZECZYTAĆ:

Projekt reorganizacji uprawnień

W poprzednim artykule pisałam o audycie uprawnień za pomocą narzędzi SAST.
Audyt taki, jeśli przynosi zatrważające rezultaty w obszarze bezpieczeństwa SAP (czytaj: z raportu audytowego jasno wynika, iż jako organizacja potrzebujemy zmian w zakresie lepszego zarządzania użytkownikami i uprawnieniami w organizacji) często prowadzi do dyskusji dotyczącej aktualnych procesów zarządzania uprawnieniami.

Takie dyskusje często są świetnym początkiem drogi do rozpoczęcia projektu.
Warto zauważyć, iż w przypadku reorganizacji uprawnień można też zastosować tzw. „projekt pełzający” czyli naprawiamy i uszczelniamy system krok po kroku.  Jest to dobra opcja, gdy mamy mało zasobów ludzkich, czasu i pieniędzy na wielki projekt reorganizacyjny.

Projekt reorganizacji uprawnień- od czego zacząć?

Klienci zazwyczaj obawiają się wielkiego przedsięwzięcia i wywrócenia do góry nogami świata autoryzacyjnego, a co za tym idzie, świata codziennego biznesu. Często taki świat rządzi się swoimi prawami, role są przepełnione, zawierają setki nieużywanych transakcji lub S_TCODE są wypełnione,
o zgrozo, * (słownie: gwiazdką)!
Jednak coraz częściej atrakcyjniejszy staje się model reorganizacyjny  gdzie porządki robi się stopniowo, dział po dziale, czas na spotkania znajduje się poza gorącymi okresami w przedsiębiorstwie. Kroki milowe nie są wielkie i gwałtowne, ale są wdrażane stopniowo przyczyniając się do wzrostu świadomości autoryzacyjnej we wszystkich działach.

Dobrze, zatem jak robimy projekt?

Audyt
Weryfikuje obecną sytuację i jest argumentem przemawiającym za rozpoczęciem reorganizacji uprawnień. SAST analizuje m.in. wykorzystywane transakcje i generuje raporty, które muszą być przeanalizowane przez sponsora projektu, jego doradców oraz zespół projektowy.
W skład zespołu projektowego muszą wchodzić osoby pełniące rolę administratora uprawnień.

Zdefiniowanie ryzyk projektowych w przedsiębiorstwie
Standard przy każdym projekcie, nie tylko autoryzacyjnym.
W każdej organizacji będą to inne ryzyka. Może brak Key-userów? Może brak zespołu autoryzacyjnego?
Może niezrozumienie istotności obszaru uprawnień SAP przez Zarząd?

Plan projektu
Dzielimy projekt na najważniejsze fazy, podczas których muszą wydarzyć się odpowiednie działania
w nieprzypadkowej kolejności.

Koncepcja Uprawnień
Dokument, który opisuje kompletny model zarządzania uprawnieniami i użytkownikami w SAP
w organizacji. Najważniejsze: nie tworzy się go raz przy wdrożeniu SAP i się o nim zapomina.
Jest to „żyjący” dokument, aktualizuje go na bieżąco zespół autoryzacyjny przy każdorazowej modyfikacji uprawnień. Na wniosek klienta dostarczamy nasz szablon Koncepcji Uprawnień podczas projektu.

 Dobre praktyki

Gotowi na projekt?  Zapraszamy, pomożemy Wam zrobić wiosenne porządki w autoryzacji!

autor: Bernadeta Szwarc /Sast Polska Team/

-------------------------------------------------------------------------------------------------

WARTO PRZECZYTAĆ:

SECURITY AUDIT LOG (SAL)

SECURITY AUDIT LOG (SAL) – czy to potrzebne?

Tak…, tak… Jeśli jesteś użytkownikiem systemu SAP i masz, powiedzmy, bliżej nieokreślone zamiary… wtedy można zadać takie pytanie.

Żarty na bok. Funkcja, o której mowa jest, podkreślmy, ważna. Oprócz tego - użyteczna.
W sytuacjach krytycznych może nam uratować skórę, doprowadzając różnorakie „śledztwa” do szczęśliwego finału.

Bezpieczeństwo

Kto na tym skorzysta? Pracodawcy, pracownicy… nie, nie Ty użytkowniku z pierwszego akapitu.
Ty chciałbyś, aby SAL był wyłączony.

SAL zapewni bezpieczeństwo systemu tylko wtedy, jeśli będzie poprawnie skonfigurowany (SM19/RSAU_CONFIG) ORAZ doglądany (SM20/RSAU_READ_LOG), a także, gdy dostęp do niego będzie ściśle ograniczony i kontrolowany. Zarówno dział Basis jak i użytkownicy kluczowi ds. bezpieczeństwa (audytorzy) mają przy konfiguracji co nieco do powiedzenia.

Poniższa tabelka pokazuje w uproszczeniu, kto za co odpowiada.

sla_blog_sast

Często zdarza się, że tematy audytu bezpieczeństwa kierowane są do zespołu Basis, który nie zawsze odpowie na wszystkie pytania i rozkłada ręce, gdyż log systemowy ujawnia zdarzenia dotyczące bazy danych, połączeń terminalowych, itp. Dzięki SAL natomiast, jesteśmy w stanie odtworzyć ciąg zdarzeń z punktu widzenia bezpieczeństwa, których log systemowy nie pokaże, ponieważ SAL uzupełnia log systemowy.

Monitoring

Jak już wspomnieliśmy logi bezpieczeństwa należy doglądać. Inaczej mówiąc – wykonywać regularną analizę. Jedną z metod jest otrzymywanie powiadomień w czasie rzeczywistym o incydentach bezpieczeństwa wykorzystując CCMS (Computing Center Management System). Inną metodą jest cykliczny przegląd raportów bezpieczeństwa generowanych w transakcji SM20/RSAU_READ_LOG. Nie ma co ukrywać: jest to żmudny i monotonny proces, ale jego krytyczność przechyla szalę, aby go wykonywać.

Podsumowanie

W dwóch słowach, czego na przykład możemy nie zauważyć nie posiadając uruchomionego SAL? Wypływu dóbr. Czy to materialnych, czy też informacji. Manipulacji. Działań szkodliwych. Co tu więcej pisać? Nic, tylko wdrażać SAL.

Użyteczne noty

539404 - FAQ: Answers to questions about the Security Audit Log

1497445 - SAL | Logging of IP address instead of terminal name

2191612 - FAQ | Use of Security Audit Log as of SAP NetWeaver 7.50

2546993 - Analysis and Recommended Settings of the Security Audit Log (SM19 / SM20)

autor: Bartosz /Sast Polska Team/

-------------------------------------------------------------------------------------------------

OSTATNI WPIS

PRZECZYTAJ RÓWNIEŻ