Czy Security Notes działają zgodnie ze swoją nazwą?
Lukardi > Blog > Bezpieczeństwo > Czy Security Notes działają zgodnie ze swoją nazwą?
- Bezpieczeństwo
Każdego miesiąca SAP publikuje nowe Security Notes. Wielu administratorów SAP szybko instaluje te łatki. Pojawia się tylko pytanie – czy wierzyć w bezpieczeństwo, które zapewniają?
W dzisiejszym artykule odpowiemy na pytanie czy w takiej sytuacji luki bezpieczeństwa nadal będą wykorzystywane?
W nocie OSS 1908870 – SACF | Workbench for Switchable Authorization Scenarios, SAP opracował centralne rozwiązanie przełączania weryfikacji autoryzacji. Pozwala to na sprawdzenie uprawnień dla konkretnych funkcji tylko wtedy, kiedy klient je aktywuje. Chodzi o zmniejszenie wpływu na ustalone koncepcje autoryzacji.
Niestety niewielu Klientów wie, że tak zaprojektowana łatka pozostanie nieaktywna po zaimplementowaniu noty OSS. Innymi słowy – wzmocnione kontrole uprawnień (zaprojektowane, by zmniejszyć ryzyko) nie mogą spełniać swojej zamierzonej funkcji. W wyniku tego odpowiednia luka w zabezpieczeniach nadal jest aktywna i można ją wykorzystać.
Kompatybilność z programami klienckimi
Dzięki transakcjom SUCC Klient może definiować scenariusze niestandardowych programów, z których korzysta. Weryfikacja autoryzacji oparta na scenariuszach umożliwia programistom udoskonalenie standardowego oprogramowania dzięki alternatywnej weryfikacji autoryzacji dla obiektów autoryzacji.
Wykorzystanie przełączania autoryzacji w programach klienckich otwiera drzwi do możliwości rozwijania i aktualizowania programów ABAP i ról autoryzacyjnych w oddzielnych środowiskach.
Nie zapomnij – przełączalne autoryzacje muszą zostać aktywowane!
Transakcja SACF umożliwia aktywację predefiniowanych kontroli uprawnień, które obejmują śledzenie autoryzacji i integrację z SAL.
Ze względów bezpieczeństwa zaleca się wdrożenie wszystkich zdefiniowanych scenariuszy (z wyjątkiem „SACF_DEMO_SCENARIO”) jako scenariusze „live”. Tutaj audytorzy muszą porównywać ilość zdefiniowanych scenariuszy z liczbą scenariuszy „live” i przeprowadzać rygorystyczną ocenę.
Po uruchomieniu scenariusza system wykonuje test autoryzacji, który aktywuje większą ochronę.
Pamiętaj: upewnij się, że weryfikacja zarówno „header-” jak i „object-” ustawiłeś na ACTIVE.
W przeciwnym razie system nie przeprowadzi kontroli (lub nie wykona rejestrowania).
Wymagane autoryzacje
Aby korzystać z autoryzacji opartych na scenariuszach należy przypisać developerom deweloperom i administratorom odpowiednie uprawnienia (S_TCODE). Rozpocznij od następujących transakcji:
Następnie przejdź do obiektu autoryzacji S_DEVELOP i odpowiednich typów obiektów (dostępne czynności: 02 dla zmian, 03 dla trybu wyświetlania i 06 dla usunięcia).
Pamiętaj: nie przypisuj czynności „zmiana” lub „usunięcie” do użytkowników na aktywnym systemie!
Podsumowanie
Niewątpliwie istotne jest utrzymanie wysokiego poziomu bezpieczeństwa systemu SAP oraz wdrażanie najlepszych praktyk w tym zakresie. Istotą jest zapoznanie się ze szczegółami wgrywanych not, by koniec końców nasz system posiadał odpowiedni poziom zabezpieczenia.
Jeśli masz pytania lub wątpliwości – napisz – chętnie na nie odpowiemy.
Tomasz Jurgielewicz
Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.