Lukardi

Czy Security Notes działają zgodnie ze swoją nazwą?

Udostępnij

Każdego miesiąca SAP publikuje nowe Security Notes. Wielu administratorów SAP szybko instaluje te łatki. Pojawia się tylko pytanie – czy wierzyć w bezpieczeństwo, które zapewniają?

W dzisiejszym artykule odpowiemy na pytanie czy w takiej sytuacji luki bezpieczeństwa nadal będą wykorzystywane?

W nocie OSS 1908870 – SACF | Workbench for Switchable Authorization Scenarios, SAP opracował centralne rozwiązanie przełączania weryfikacji autoryzacji. Pozwala to na sprawdzenie uprawnień dla konkretnych funkcji tylko wtedy, kiedy klient je aktywuje. Chodzi o zmniejszenie wpływu na ustalone koncepcje autoryzacji.

Niestety niewielu Klientów wie, że tak zaprojektowana łatka pozostanie nieaktywna po zaimplementowaniu noty OSS. Innymi słowy – wzmocnione kontrole uprawnień (zaprojektowane, by zmniejszyć ryzyko) nie mogą spełniać swojej zamierzonej funkcji. W wyniku tego odpowiednia luka w zabezpieczeniach nadal jest aktywna i można ją wykorzystać.

Kompatybilność z programami klienckimi

Dzięki transakcjom SUCC Klient może definiować scenariusze niestandardowych programów, z których korzysta. Weryfikacja autoryzacji oparta na scenariuszach umożliwia programistom udoskonalenie standardowego oprogramowania dzięki alternatywnej weryfikacji autoryzacji dla obiektów autoryzacji.

Wykorzystanie przełączania autoryzacji w programach klienckich otwiera drzwi do możliwości rozwijania i aktualizowania programów ABAP i ról autoryzacyjnych w oddzielnych środowiskach.

Nie zapomnij – przełączalne autoryzacje muszą zostać aktywowane!

Transakcja SACF umożliwia aktywację predefiniowanych kontroli uprawnień, które obejmują śledzenie autoryzacji i integrację z SAL.

Ze względów bezpieczeństwa zaleca się wdrożenie wszystkich zdefiniowanych scenariuszy (z wyjątkiem „SACF_DEMO_SCENARIO”) jako scenariusze „live”. Tutaj audytorzy muszą porównywać ilość zdefiniowanych scenariuszy z liczbą scenariuszy „live” i przeprowadzać rygorystyczną ocenę.

 

Po uruchomieniu scenariusza system wykonuje test autoryzacji, który aktywuje większą ochronę.

Pamiętaj: upewnij się, że weryfikacja zarówno „header-” jak i „object-” ustawiłeś na ACTIVE.

W przeciwnym razie system nie przeprowadzi kontroli (lub nie wykona rejestrowania).

 

Wymagane autoryzacje

Aby korzystać z autoryzacji opartych na scenariuszach należy przypisać developerom deweloperom i administratorom odpowiednie uprawnienia (S_TCODE). Rozpocznij od następujących transakcji:

Następnie przejdź do obiektu autoryzacji S_DEVELOP i odpowiednich typów obiektów (dostępne czynności: 02 dla zmian, 03 dla trybu wyświetlania i 06 dla usunięcia).

Pamiętaj: nie przypisuj czynności „zmiana” lub „usunięcie” do użytkowników na aktywnym systemie!

Podsumowanie

Niewątpliwie istotne jest utrzymanie wysokiego poziomu bezpieczeństwa systemu SAP oraz wdrażanie najlepszych praktyk w tym zakresie. Istotą jest zapoznanie się ze szczegółami wgrywanych not, by koniec końców nasz system posiadał odpowiedni poziom zabezpieczenia.

Jeśli masz pytania lub wątpliwości – napisz – chętnie na nie odpowiemy.

Tomasz Jurgielewicz

Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.