Av Christoph Aschauer, Director, LogPoint for SAP

Organisasjoner som bruker SAP som forretningsapplikasjon eller ERP-system, lagrer ofte sine mest kritiske eiendeler, inkludert intellektuelle egenskaper i SAP. Disse dataene må beskyttes mot uautorisert tilgang som kommer fra både utenfor og innenfor organisasjonen. SAP-systemer krever omfattende beskyttelse og sikkerhetsovervåking.

Hva er SAP-sikkerhet?

Det er forskjellige aspekter ved SAP-sikkerhet, for eksempel infrastruktursikkerhet, nettverkssikkerhet, operativsystemsikkerhet og databasesikkerhet. Det neste laget er sikker kode, som inkluderer vedlikehold av SAP-kode og sikkerhet i tilpasset kode. Et sikkert oppsett av SAP-servere er viktig. Den dekker sikker konfigurasjon av en server, aktivering av sikkerhetslogging, sikkerhet når det gjelder systemkommunikasjon og datasikkerhet. Brukere og autorisasjoner er ikke mindre kritiske. Samlet sett er det viktig å garantere systemets samsvar ved hjelp av kontinuerlig overvåking, revisjon og etablering av beredskapskonsepter.

Hva brukes SAP-sikkerhet til og hvorfor er det viktig?

SAP-sikkerhet er ofte lukket eller en blind flekk i den sentraliserte cybersikkerhet overvåkingen av en bedrift. SAP-sikkerhet bør beskytte de forretningskritiske systemene organisasjoner er avhengige av for å drive virksomheten effektivt.

De vanligste bruksområdene inkluderer:

  • Unngå utnyttelse og svindel
  • Sikre dataintegritet
  • Identifisere uautorisert tilgang
  • Kontinuerlige og automatiserte revisjoner
  • Oppdage datalekkasjer
  • Sentralisering av sikkerhetsovervåking

Et angrep på SAP-systemer kan ha en ødeleggende innvirkning på virksomheten til virksomheten som kan resultere i både økonomiske tap og omdømmetap. Disse systemene må beskyttes mot interne og eksterne cybertrusler for å opprettholde konfidensialitet, tilgjengelighet og integritet. Til tross for dette holder mange organisasjoner dem utenfor omfanget av sikkerhetsteam eller stole på ERP-leverandørverktøyene alene. Dette øker risikoen for angrep og gjør ERP-systemer, som SAP, et hovedmål for motstandere.

Hvorfor SAP-systemer er spesielt utsatt for nettangrep

Hvordan fungerer SAP-sikkerhet?

SAP-systemer er komplekse og unike av natur, noe som gjør tilstrekkelig cybersikkerhet utfordrende å oppnå. Det er flere disipliner å mestre innen SAP-sikkerhet for å sikre en god sikkerhetsstilling:

Roller og autorisasjoner

SAP leverer nødvendige autorisasjoner som en standard. Kundespesifikke autorisasjonskonsepter er satt opp i SAP, slik at viktige tillatelser kan tildeles. Tildelingen av autorisasjonskombinasjoner (Segregation of Duties, SOD) er kritisk. Tildeling av kritiske kombinasjoner av autorisasjoner bør unngås og kun brukes eller tildeles i unntakstilfeller, for eksempel med såkalte brannmannskontoer. En ytterligere komplikasjon i SAP-sikkerhet er at autorisasjoner og roller kan manipuleres i SAP med SAP-standard.

Derfor er det av avgjørende betydning å undersøke nødvendige autorisasjoner og autorisasjonskombinasjoner og gir selskaper store utfordringer. Den kontinuerlige, automatiserte gjennomgangen av SAP-autorisasjoner er også av stor betydning.

Slike kontroller bruker en testkatalog. Å lage dette fra bunnen av krever mye innsats og er ikke bare relevant for autorisasjonene i SAP Basis-området, men for forretningsprosesser. Anta at 4-6 øyeprinsipper undergraves ved tildeling av nødvendige tillatelser og kombinasjoner av tillatelser. I så fall er det en risiko for utnyttelse eller svindel.

SOD-kontroller utføres ideelt ikke bare i henhold til SAP-roller, men i henhold til brukere som kan bryte en såkalt SOD-konflikt ved å tildele flere roller. I tillegg til brukernes evaluering, er det viktig å vite hvilke roller som til slutt utløser konflikten i kombinasjon. SAP-transaksjonen SUIM og dens API tillater kontroll av kombinasjoner av kritiske autorisasjoner.

Patch Management

SAP påvirkes i økende grad av sikkerhetsbrudd. Trusler som for tiden behandles i tradisjonell cybersikkerhet er også gyldige for SAP-systemer. Det er kontinuerlige publikasjoner av såkalte SAP Security Notes, men utfordringen for organisasjoner er å holde SAP-systemene oppdatert og bruke oppdateringene kontinuerlig. Dette er ikke alltid mulig. Derfor forblir mange SAP-systemer upatchet i lang tid og har dermed alvorlige sikkerhetshull. For å gjøre saken verre, med utgivelsen av nye oppdateringer, frigjøres informasjon om hvor sårbarhetene er, og hvordan de kan utnyttes. Ikke bare er lapping viktig, men også påvisning av utnyttede sårbarheter, såkalte zero-day exploits.

Transaksjonsovervåking

SAP tilbyr et stort antall kritiske transaksjoner og funksjonelle moduler som til og med er tilgjengelige eksternt. Det er mulig å opprette kontoer via SAP-systemets API, utstyre dem med autorisasjoner, og deretter bruke dem eksternt. Andre byggesteiner og funksjonsmoduler kan deretter laste inn eller manipulere data fra SAP-systemet. Nok en gang spiller autorisasjonsoppdraget en rolle her, da det begrenser bruken av transaksjonene. Det er også viktig å overvåke gjennomføringen av transaksjoner, RFC-moduler eller SAP-rapporter kontinuerlig og nesten i sanntid. Tilgang til SAP-systemer utenfra via grensesnittene til et SAP-system, for eksempel RFC-grensesnittet, må også overvåkes.

SAP-kode sikkerhet

Kodesikkerhet er også en viktig del av SAP-sikkerhet. I SAP-systemer overlates det ofte til utviklerne å sikre ABAP-kodens sikkerhet. Koding settes sammen i transporter og transporteres fra utviklingssystemene til produksjonssystemene, ofte uten tilstrekkelig undersøkelse av kodingen. SAP tilbyr også angripere interessante alternativer for kodeinjeksjon, da koding til og med kan genereres og utføres ved kjøretid. Manipulering av viktige og presserende transporter er bare en måte å transportere ondsinnede programmer som ikke blir oppdaget inn i et SAP-system. SAP tilbyr en kodeinspektør, med moduler som Code Vulnerability Analyzer, for å sjekke kodingen.

Systeminnstillinger

Systeminnstillinger er grunnlaget for SAP-sikkerhet, og innstillingsalternativene til SAP-systemer er mange. Innstillinger gjøres på databasenivå av SAP-transaksjoner eller såkalte SAP-profilparametere, som lagres i filer. Utrullingen av et SAP-system må være i samsvar med et sett med regler for systeminnstillinger, som du finner i en SAP Basis-bruksanvisning. Her bestemmes det hvordan sikkerhetsinnstillingene tildeles i et SAP-system, hvordan tilgang gis eller nektes, og hvilken kommunikasjon av et SAP-system som er tillatt. Operativsystemet, databasen og applikasjonslagene er relevante her. Hvert av disse lagene krever riktig konfigurasjon av sikkerhetsinnstillingene. Dessverre er disse ofte utilstrekkelige i standard SAP-systemet.

RFC-konfigurasjon

RFC-kommunikasjon er et viktig tema. RFC Gateway kan beskrives som den interne SAP-brannmuren og må konfigureres nøyaktig (RegInfo, SecInfo), for å unngå uautorisert ekstern tilgang fra systemer og applikasjoner. SAPs beste praksisretningslinjer, eller retningslinjer fra SAP-brukergrupper som DSAG, inneholder praksis-testede og sikkerhetsorienterte innstillinger og testkataloger.

Hvorfor SAP-systemer er spesielt utsatt for nettangrep

SAP-sikkerhet og lesetilgangslogger

SAP-sikkerhet dekker også en rekke sikkerhetslogger. Disse må slås på og styres samtidig. De mest kritiske loggene er SAP Security Audit Log (SM20), som inneholder et sett med sikkerhet og overvåker relevante hendelser. Endringslogger (SCU3) til databasetabeller er tilgjengelige, og de såkalte Change Documents of users and business objects (SCDO). SAP RFC Gateway Log SMGW fører logger over RFC Gateway, logger fra SAP Internet Communication Manager og Web Dispatcher.

SAP Read Access-loggen lagrer lese- og skrivetilgang til spesifikke felt for transaksjoner, rapporter eller programmer. Dermed gir en viktig komponent for å oppfylle forpliktelsene under EUs databeskyttelsesforordning (GDPR eller DS-GVO) – loggføring av tilgang til personopplysninger . Konfigurasjonen av SAP Read Access Logs og deres evaluering er et viktig element i SAP Security Monitoring, ikke minst i GDPR-tider. Med denne loggens hjelp kan tilgang til SAP overvåkes, hentes ut og samles sentralt, og i beste fall automatisk overvåkes med passende regler. SAP Read Access-loggen opprettholdes via transaksjonen SRALMANAGER.

SAP sikkerhetsløsninger og verktøy

Mens leverandøren tilbyr en SAP-sikkerhetsløsning, integreres den ofte ikke med resten av organisasjonens cybersikkerhet overvåking. Dette skaper en blind flekk for sikkerhetsteamet og øker cybertrusselen fra interne og eksterne aktører.

Det er derfor integrering av SAP-sikkerhetsovervåking i en sentralisert SIEM kan gi betydelig verdi innen cybersikkerhet, IT-drift, system compliance og forretningsanalyse. Ideelt sett bruker disse plattformene teknologier som UEBA (User Entity and Behavior Analytics) – for å få atferdsmessig innsikt i tillegg til regelbasert overvåking.

SAP-sikkerhet må overvåkes kontinuerlig og automatisk i SIEM-løsninger. På et sentralt punkt i selskapet, integrert i IT-sikkerhet, ideelt administrert av et Security Operations Centers (SOC ), for å identifisere trusler og svare umiddelbart.

LogPoint for SAP infografikk