By Christoph Aschauer, Director, LogPoint for SAP

Organisationer som använder SAP som sin affärsapplikation eller ERP-system lagrar ofta sina mest kritiska tillgångar, inklusive immateriella egenskaper inom SAP. Dessa data måste skyddas mot obehörig åtkomst som härrör från både utanför och inom organisationen. SAP-system kräver en SAP-säkerhet med omfattande skydd och säkerhetsövervakning.

Vad är SAP säkerhet?

Det finns ett flertal olika aspekter av SAP Säkerhet, till exempel, infrastruktur-, nätverks-, operativsystem-, och databassäkerhet. Nästa lager utgörs av säker kod, vilket inkluderar förvaltning av SAP-kod inklusive säkerheten i anpassad kod. En säker implementering och konfiguration av SAP-servrar är av yttersta vikt. Den täcker en säker konfigurationen av en server, möjliggör säkerhetsloggning, system kommunikationssäkerhet inklusive datasäkerhet. Användare och diverse behörigheter är dock ej mindre kritiska. Sammantaget är det av avgörande betydelse att kunna garantera system överensstämmelse med hjälp av kontinuerlig övervakning, revisioner och fastställande av nödkoncept.

Vad används SAP säkerhet för och varför är det viktigt?

SAP säkerheten befinner sig ofta i en så kallad blind fläck när det kommer till övervakning av cybersäkerheten hos verksamheten i fråga. SAP-säkerhet har som primär uppgift att skydda de affärskritiska system som organisationer förlitar sig på för att kunna bedriva sin verksamhet på ett effektivt och adekvat sätt.

Varför SAP-system är särskilt utsatta för cyberattacker

Hur fungerar SAP Säkerhet?

SAP-system är komplexa och unika i dess natur, vilket medför stora utmaningar när det kommer till att uppnå adekvat cybersäkerhet. Generellt så finns det flera olika discipliner vilka måste bemästras inom just SAP säkerhet för at kunna säkerställa en sund säkerhetskultur:

Roller och auktorisationer

SAP levererar nödvändiga auktoriseringar som standard. Kundspecifika auktoriseringsbegrepp ställs in i SAP, vilket gör att väsentliga behörigheter kan tilldelas. Tilldelningen av auktoriseringskombinationer (Segregering av Arbetsuppgifter, SOD) är kritisk. Tilldelning av kritiska kombinationer av tillstånd bör undvikas och endast användas eller tilldelas i undantagsfall, till exempel med så kallade brandmanskonton. Ytterligare en komplikation i SAP-säkerhet är att auktoriseringar och roller kan manipuleras i SAP med hjälp av SAP-standard medel.

Hantering av korrigeringsfiler

SAP påverkas alltmer av säkerhetsöverträdelser. Hot som för närvarande hanteras i traditionell cybersäkerhet innefattar även SAP-system. Kontinuerliga publikationer av så kallade SAP säkerhetsnoteringar publiceras regelbundet. Dock så ligger utmaningen för organisationerna i att hålla SAP-systemen uppdaterade och tillämpa de publicerade uppdateringar på en kontinuerlig basis. Detta är inte alltid möjligt och på grund av det så förblir många SAP-system utdaterade under lång tid vilket därmed indirekt medför allvarliga säkerhetsluckor. För att göra saken värre, med lanseringen av nya patchar, information släpps om var sårbarheter är, och hur de kan utnyttjas. Det är inte bara nödvändigt att korrigera, utan också att detektera exploaterade sårbarheter, så kallade zero-day-bedrifter.

Transaktionsövervakning

SAP erbjuder ett stort antal kritiska transaktionsrelaterade- och funktionella moduler vilka även kan nyttjas på distans. Det är möjligt att skapa konton via SAP-systemets API, tilldela dessa adekvata auktoriseringar och sedan använda sig av dessa på distans. Andra byggstenar och funktionsmoduler kan sedan läsa in eller manipulera data från SAP-systemet. Återigen spelar tilldelningen av auktoriseringar en roll här, eftersom den begränsar användningen av transaktionerna. Det är också helt avgörande att övervaka genomförandet av transaktioner, RFC-moduler eller SAP-rapporter kontinuerligt, helst i realtid. Åtkomst till SAP-system utifrån via gränssnitten för ett SAP-system, till exempel RFC-gränssnittet, måste också övervakas på ett adekvat sätt.

SAP-källkod & Säkerhet

Säkerheten hos källkoden är också en väsentlig del av SAP-säkerhet. I SAP-system lämnas det ofta till utvecklarna att säkerställa ABAP-källkodens säkerhet. Källkoden sätts samman i olika segment och överförs från utvecklingssystemen till produktionssystemen, ofta utan en tillräcklig analys av källkoden i fråga. SAP erbjuder angriparna intressanta alternativt för så kallad injicering av källkod som i sig kan genereras och exekveras vid körning. Manipuleringen av viktiga och brådskande transporter är bara ett sätt att transportera skadliga program oupptäckta till ett SAP-system. SAP tillhandahåller en källkodsinspekterare, med moduler som Källkodssårbarhetsanalys modulen, för att kontrollera källkoden i fråga.

Systeminställningar

Systeminställningar är grunden för SAP-säkerhet och inställningsalternativen för SAP-system är oändliga. Inställningar görs på databas nivå av SAP-transaktioner eller så kallade SAP Profilparametrar vilka sedan lagras i filer. Implementeringen av ett SAP-system måste följa en uppsättning regler för systeminställningar, vilka återfinns i en bruksanvisning för SAP Basis. Här bestäms hur säkerhetsinställningarna tilldelas i ett SAP-system, hur åtkomst beviljas eller nekas och vilken kommunikation som SAP-systemet i fråga har tillåtelse att initiera och utföra. Operativsystemet, databasen och programskikten är högst relevanta i detta sammanhang. Vart och ett av dessa lager kräver en adekvat konfiguration av säkerhetsinställningarna. Tyvärr är dessa ofta otillräckliga i grundinställningarna för SAP-system.

RFC-konfiguration

RFC kommunikation är ett viktigt ämne. RFC Gateway kan beskrivas som SAP-intern brandvägg och behöver konfigureras på ett exakt sätt (RegInfo, SecInfo), för att undvika obehörig fjärråtkomst från system och applikationer. SAP riktlinjer för bästa praxis, eller riktlinjer från SAP användargrupper som DSAG, innehåller praxis-testade och säkerhetsinriktade inställningar inklusive testkataloger.

Varför SAP-system är särskilt utsatta för cyberattacker

SAP-säkerhets- och läsåtkomstloggar

SAP Säkerhet täcker också en rad säkerhetsloggar. Dessa behöver slås på och styras samtidigt. De mest kritiska loggarna är SAP Säkerhet Audit Log (SM20), som innehåller en uppsättning av säkerhets- och granskningsrelevanta händelser. Ändringsloggar (SCU3) för databastabeller finns tillgängliga och de så kallade ändringsdokumenten för användare och affärsobjekt (SCDO). SAP RFC Gateway Log SMGW bär loggar för RFC Gateway, loggar från SAP Nätkommunikationshanteraren och Webbavsändare.
I SAP-loggen för läsåtkomst lagras läs- och skrivåtkomst till specifika fält med transaktioner, rapporter eller applikationer. Att tillhandahålla en väsentlig komponent för att uppfylla skyldigheterna enligt EU:s dataskyddsförordning (GDPR eller DS-GVO) – loggning av åtkomst till personuppgifter. Konfigurationen av SAP Läsåtkomstloggar och utvärdering av dessa är ett väsentligt inslag i SAP Säkerhetsövervakning, inte minst i tider av GDPR. Med den här loggens hjälp kan åtkomst till SAP övervakas, extraheras och centraliseras och i bästa fall automatiskt övervakas med adekvata regler. Sap Läsåtkomstloggen underhålls via transaktionen SRALMANAGER.

SAP säkerhetslösningar och verktyg

Medan leverantören tillhandahåller en SAP-säkerhetslösning, integreras den i de flesta fall aldrig med resten av organisationens cybersäkerhetsövervakning. Detta skapar en blind fläck för säkerhetsteamet och ökar hot risk bilden från både interna och externa aktörer.
Just därför så kan integrationen av din SAP Säkerhetsövervakningsmodul till en centraliserad SIEM avsevärt öka graden av cybersäkerhet, IT-Drift, systemefterlevnad och affärsanalys. I ideala fall så använder sig dessa plattformar av teknik som UEBA (Användaridentitet och Beteendeanalys) – för att få beteendeinsikter utöver regelbaserad övervakning.
SAP-säkerhet måste övervakas kontinuerligt och automatiskt med hjälp av anpassade SIEM-lösningar. Centrala punkter i verksamheten behöver ha en integrerad och adekvat IT-säkerhetskonfiguration som helst skall hanteras av Säkerhetscentret (SOC), för att kunna identifiera och besvara hot omedelbart.

LogPoint för SAP-infografik