Utmaningar med SAP-säkerhet

Inget system kommer någonsin att vara säkert. Å andra sidan är det inte så att vi inte kan sträva efter säkerhet - tvärtom. Allt handlar om riskhantering, riskacceptans, men framför allt om riskmedvetenhet. Vilka är då de största utmaningarna när det gäller SAP-säkerhet?

SAP är det största affärssystemet i världen, vilket statistiken realistiskt visar. Detta får konsekvenser för kundernas krav, som globalt sett har ett verkligt inflytande på utvecklingen av verktyg, både hos tillverkaren själv och hos kundlösningar (s.k. zetas).

Det ekosystem som byggs upp kring tekniken omfattar både ett tekniklager (t.ex. BASIS) och ett lager med affärsrådgivning (där rådgivningen optimerar affärsprocesserna, åtminstone i teorin). Detta ger upphov till två huvudsakliga utmaningar
med SAP-säkerhet, som följaktligen kokar ner till riskhantering.
De två grupperna av säkerhetsutmaningar baseras just på dessa två huvudområden och kan grupperas enligt följande översikt:

Utmaning 1 - Affärssammanhang
Säkerställa att användarna kan utföra affärsprocesser som är lämpliga för deras position. Detta gör det absolut nödvändigt för organisationen att veta vilka risker överdriven auktoritet medför - här introducerar vi begreppet SoD (Conflicts of Authority, separation of duties).

Utmaning 2 - Teknik
T.ex. lämplig systemkonfiguration, kernel, gränssnittsinställningar, rapportering eller automatiseringar. Konsekvensen är att organisationen har kunskapen att bedöma tekniska sårbarheter som påverkar stabiliteten och säkerheten i systemet och uppgifterna i det. Var och en av ovanstående utmaningar kan hanteras separat,
Det är dock bara genom att ta itu med utmaningarna på ett holistiskt (heltäckande) sätt som systemet kan säkras på ett tillfredsställande sätt.

Behörigheter - den första pelaren i SAP:s säkerhet

De affärsprocesser som implementeras av SAP-systemet är
(enkelt uttryckt) baserat på transaktioner. Det är deras närvaro i en roll, tilldelad en specifik användare, som gör det möjligt att utföra det arbete som krävs för jobbet. Organisationens medvetenhet om vad risk är är avgörande. Därför baseras identifieringen av den på identifiering:

• kritiska transaktioner - de tillstånd som i sig gör det möjligt att utföra farliga aktiviteter,
• Behörighetskonflikter - en uppsättning av två transaktioner som var för sig inte är farliga, men som tillsammans gör det möjligt att t.ex. utföra en hel affärsprocess eller en kritisk del av den.

Varför det är viktigt att implementera följande steg för att förbättra SAP-säkerheten (dvs. implementera GRC-processer i SAP):

1. Att definiera risker - en viktig del av policyimplementeringen
   säkerhet för godkännande.
2. Identifiering av risker i roller och för användare.
3. Rolloptimering (eliminera risker när så är möjligt).
4. Begränsning, dvs. att acceptera risker och genomföra kontroller när de materialiseras.
5. Implementering av arbetsflöden för att säkerställa automatisk identifiering av risker i ansökningsskedet.
6. Övervakning.

Under webbinariet den 18 april 2024 kl. 14.00 kommer jag att prata om de enskilda delarna av ovanstående steg och föreslå en handfull argument som kan användas i diskussionen med verksamheten (för att på så sätt övertyga dem om behovet av att ta itu med genomförandet av säkerhetsuppgraderingsprojektet).

Teknik - den andra pelaren i SAP:s säkerhet

SAP utvecklas i en svindlande takt. Detta kan illustreras genom att jämföra tekniken med den största i världen. Antalet kodrader som systemet består av är större än de sammanlagda kodraderna för Mac OS, Firefox, Windows, Office
och några fler tekniker.

I labyrinten av hundratals och tusentals system-, kärn-, databas- och gränssnittsparametrar finns det vissa vars ändring från 0 till 1 kan orsaka betydande säkerhetsutmaningar. Det finns också risker som inte direkt påverkar applikationslagret, som i exemplet nedan, där en attack mot operativsystemet kan genomföras genom att byta SSH-nycklar.

Dessutom kan man hitta färdiga (eller nästan färdiga) exploateringar av kända sårbarheter på Internet. Det visar sig att för att försöka utnyttja en sårbarhet behöver angriparen i vissa fall inte ha sofistikerad kunskap (se script kiddie https://pl.wikipedia.org/wiki/Script_kiddie))
Förekomsten av ett antal loggkällor innebär ytterligare utmaningar när det gäller
med vad som specifikt ska undersökas. Var och en av loggkällorna har sina egna egenskaper, vilket kan komplicera SAP-övervakning i realtid.

Sammanfattning

Dessa SAP-säkerhetsutmaningar är bara ett urval av dem
och gruppering. Under särskilda webbseminarier fokuserar vi bland annat på exempel på dess element för att öka medvetenheten om de enskilda utmaningarna. För det är bara genom att ha en helhetssyn på implementeringen av GRC-processer i SAP och identifiera risker från den tekniska sidan som risker kan hanteras på rätt sätt. Jag inbjuder dig att följa kommande evenemang.