SAP-säkerhet

Ett lager av konfigurationsparametrar som bör motsvara organisationens säkerhetspolicy. Dessa parametrar bör kontrolleras regelbundet.

Exempel:

login/password_expiration_time (standardvärde 0, vår rekommendation 30)
Användaren måste byta lösenord efter ett visst antal dagar (för parameter 0 är forceringen inte aktiverad).

inloggning/min_lösenord_lng (standardvärde 3, vår rekommendation 8+)
Ange en minsta längd på lösenordet.

inloggning/misslyckas_att_låsa_användare (standardvärde 12, vår rekommendation 5)
Antal felaktigt inmatade lösenord för att blockera ett användarkonto.

SAP-nivå

SAP Security Audit Log:

• huvudsakliga säkerhetsloggen,
• en del av informationen är inte särskilt tydlig ur ett säkerhetsperspektiv,
• Enligt loggboken är inloggningen av en SAP*-användare inte en risk, medan ett felaktigt angivet inloggningslösenord är en risk.

SAP ändringsdokument och tabell loggin:

• Loggning av dokument- och tabelländringar,
• dålig kvalitet om dokumenten inte arkiveras över tid.

SAP-systemlogg:

• SAP:s huvudlogg,
• Loggar skrivs över efter 14 dagar.

Nivåer bortom SAP

Operativsystemets logg Windows/UNIX - Problemet är t.ex. att administratören måste ha root-rättigheter för att kunna läsa loggarna på egen hand.

Databaslogg - ingen möjlighet att analysera databasinställningar från SAP-nivå (t.ex. information om konton och deras behörigheter)

SAP Router/HTTP nätverksloggar - problemet är bristen på standardlösningar för att omdirigera loggar till syslog

Alla system är känsliga för hackning, SAP är inget undantag, så det är viktigt att installera systemuppdateringar regelbundet.
Dessa ger information om intrång med hjälp av kända sårbarheter.

Exempel 1 - en rapport från USA:s säkerhetsdepartement som visar att minst 36 globala SAP-system har hackats med hjälp av en sårbarhet som varit känd (och patchad) sedan 2010. Läs mer på https://bit.ly/28Kpk5r

Exempel 2 - årsmöte för säkerhetsbranschen PWNIE Awards 2015 tilldelade första pris i kategorin Best Server-Side Bug för upptäckten av en sårbarhet i SAP som möjliggjorde obehörig åtkomst till systemet https://bit.ly/29Se5hB

Under SAP-implementeringen standardanvändarkonton skapas. De används vid den första installationen av systemet och är allmänt kända under både namn och lösenord.
Det är oerhört viktigt att skydda dessa konton på ett adekvat sätt.
Det mest kritiska kontot är SAP* (ger i stort sett obegränsad tillgång till och ändringar i systemet).

Lösenorden för standardkonton bör ändras och profiler med hög behörighet (t.ex. SAP_ALL) bör tas bort.
Det viktiga är att om du tar bort standardkontot kommer det att återskapas automatiskt (med standardlösenordet).
SAP*-kontot bör därför få ett nytt lösenord och parametern login/no_automatic_user_sapstar bör sättas till 1 (ingen automatisk återställning av SAP*-kontot).

Precis som med standardkontona har SAP (medföljer vid installationen) Uppsättningar av behörighetsprofiler som ger bred tillgång till systemet.. Användningen av dessa profiler bör vara mycket strikt kontrollerad och deras användning bör begränsas till nödsituationer.

Den viktigaste profilen för bred åtkomst är SAP_ALL - den ger möjlighet att utföra alla transaktioner, få åtkomst till alla objekt, funktioner eller åtgärder (det är inte utan anledning som denna profil i SAP-administratörernas jargong brukar kallas „Gud på systemet”). Det är viktigt att denna profil inte tilldelas någonstans. Detsamma gäller för profilen SAP_NEW

Om användarna inte på ett adekvat sätt ges åtkomsträttigheter till olika delar av systemet ökar risken för förskingring.

Exempel: om en person har både möjlighet att ändra ett bankkontonummer och möjlighet att göra en överföring - är det möjligt att kringgå organisationens policy för att flytta ut pengar.

Sammanfattningsvis: det är viktigt att hantera maktkonfliktmatrisen på rätt sätt. En sådan matris gör det framför allt möjligt att identifiera befintliga konflikter, och verifieringen av enskilda användares åtkomst gör det möjligt att bedöma riskerna. Implementeringen av en effektiv policy för dataåtkomst i SAP är en av de viktigaste faktorerna för att skydda SAP-miljön mot risker, där den viktigaste faktorn är användarnas agerande.