Anche SAP può essere soggetto a virus informatici. Ma come verificare e cosa attivare?

Conviene farlo? Oppure è meglio astenersi? Vediamo assieme in questo articolo!

Cosa è un virus informatico?

È un termine nato negli anni Ottanta, usato dall'informatico americano Fred Cohen e descritto nel suo articolo "Computer Viruses Theory and Experiments".

Per i pochi che non hanno questa nozione, è un software che può creare dei danni di diversa natura ad apparecchi informatici. Può essere paragonato sicuramente ad una infezione biologica. Una volta attivato si sparge nel corpo o nel sistema ospite e cerca di aggredire altri sistemi.

Può chiaramente essere utilizzato come vettore di attacco informatico.

Ma SAP è immune dai virus?

Purtroppo, no, così come qualsiasi software. Esistono chiaramente software che sono maggiormente oggetto di virus, spesso in quanto molto diffusi, ed altri meno, ma in generale al momento non esiste un "vaccino".

Cosa è ed a cosa serve l'antivirus?

Si tratta anche in questo caso di un software il cui scopo è quello di identificare e prevenire delle infezioni da virus informatici. 

Uno degli aspetti fondamentali di questi sistemi di difesa è la loro affidabilità ovvero essere in grado di limitare i falsi positivi (l'identificazione di virus che non sono tali) oppure falsi negativi (la non identificazione di un reale virus). 

Ogni antivirus deve essere costantemente aggiornato, affinché sia sempre in grado di riconoscere eventuali nuovi virus o "mutazioni". 

Quali sono i livelli di attenzione dove è possibile attivare un antivirus in SAP?

Negli ambienti SAP esistono sostanzialmente tre livelli di attenzione su questo aspetto:

• Livello infrastrutturale - "On Access-Protection" (es. Sistema Operativo)
• Livello Database 
• Livello Applicativo - "On-Demand-Protection"

Ognuno di questi livelli può essere soggetto a virus. 

Antivirus SAP Sistema Operativo

Esistono diversi sistemi operativi che possono essere utilizzati per ospitare sistemi SAP. Le due macrocategorie principali sono quelle:

• Unix-like
• Windows.

In questa nota OSS puoi trovare quali sono i sistemi SAP supportati dal database HANA (2235581 - SAP HANA: Supported Operating Systems), solo Linux.

Mentre in questa nota OSS trovi quali sistemi SAP possono essere installati su sistemi operativi Windows (2751450 - SAP Systems on Windows Server 2019)

Ci sono diverse controversie sull'argomento. Per diversi motivi, tutto sommato classici, ovvero:

• avrò dei problemi di performance?
  • Esempio concreto, con soluzione, qui: 2543437 - 5 second delay in Enqueue requests with Antivirus software on Windows
• potrebbero capitare dei blocchi di business a causa dell'antivirus. In altre parole, potrebbe ostruire la continuità di business? 
• avrò in generale dei possibili problemi ad installare un antivirus sul server dove "gira" SAP?

Sì, possono essere giustificati in questo caso.

Tuttavia, credo possa essere utile fare un ragionamento più ampio. Ovvero:

• Perché allora non assegniamo a tutti gli utenti il profilo SAP_ALL (per svolgere qualsiasi azione a sistema ed essere di fatto amministratori)? Risparmieremmo su tantissimi fronti:
  • i processi potrebbero essere più veloci, tutti possono fare tutto e non ci sarebbe da aspettare una richiesta (dovuta all'applicazione di regole di separazione di compiti)
  • verrebbe meno la gestione delle abilitazioni
  • non ci sarebbero più problemi autorizzativi
  • potremmo aggiungere altri benefici...
• Perché allora applicare delle regole di DLP (Data Loss Prevention) magari sui sistemi di posta aziendale?
  • magari la mail di un ordine importante viene bloccata
  • magari la mail dell'amministratore delegato che invita dei possibili clienti importanti viene bloccata

Nei casi sopra vediamo come ogni azione che viene fatta per proteggere dei dati aziendali, possa causare (almeno in questo momento storico) dei possibili effetti collaterali. Quanti sono questi effetti e che impatti hanno possono farci capire come pesare e bilanciare questi aspetti.

Se tutti hanno SAP_ALL?

• Chiunque può cancellare il sistema SAP con i suoi dati. Quanto ci costa questo rischi?
• Chiunque potrebbe commettere delle frodi "perfette". Quanto ci costa? 
• Scrivi nei commenti altri casi!!

Se non ho un sistema di DLP?

• Alcuni dati vengono inviati all'esterno senza nemmeno rendersene conto. Quanto ci costa?
• Scrivi nei commenti altri casi!!

Ma allora SAP cosa dice?

Nella nota seguente, specifica per windows: "106267 - Virus scanner software on Windows" la SAP raccomanda l'uso di software antivirus nei sistemi che ospitano applicazioni SAP su piattaforma windows.

Tuttavia, non ne esclude che possano derivare problemi (alla fine della nota vengono citati alcuni casi noti)

Viene rimarcato che:

• SAP non rilascia antivirus
• Suggerisce che l'analisi selettiva è da preferire ad una full analysis così come una analisi in determinati momenti (se possibile di carico limitato), rispetto ad una analisi real time

Qui una nota relativa ai sistemi Unix: 2808515 - Protecting SAP systems using virus scanner software - Netweaver

Antivirus SAP nel Database

In questo caso parliamo di SAP HANA. SAP ne permette l'installazione e l'attivazione. Infatti, nella OSS nota seguente: 2808515 - Protecting SAP systems using virus scanner software - Netweaver è possibile trovare:

It is a good idea to use a virus scanner to protect against computer viruses if you use SAP software, and, in general, SAP supports this.

Nella nota seguenti trovi diversi requisiti 1730930 - Using antivirus software in an SAP HANA appliance.

Tra i principali:

• bisogna disattivarlo, temporaneamente, nel caso in cui il supporto SAP lo richieda
  
• deve essere fatto o valutato in accordo al fornitore dell'hardware usato per HANA
  
• alcune directory o parti del sistema devono essere escluse da controlli di questo tipo

Esiste una nota che sconsiglia (1730997 - Unrecommended versions of antivirus software) l'utilizzo di software antivirus che hanno causato problemi nei vari test condotti da SAP. Al momento questa nota non include nessun software.

Hai altri database (non SAP)? Oracle, IBM, DB2 etcc controlla la documentazione del fornitore.

SAP Antivirus a livello applicativo

In questo caso siamo al livello più alto, è possibile attivare questa funzionalità in tutti sistemi basati su NetWeaver (ABAP e JAVA).

Parliamo dei casi dove viene effettuato un upload di un documento dall'esterno, tramite diversi servizi potenzialmente:

• caricamento di file da SAP GUI
• caricamento di file via Web (HTML)
• e-mail in ingresso
• web Service
• ogni applicazione SAP, tuttavia, potrebbe avere specificità proprie. È quindi importante vedere la security guide per verificare se ci sono punti di attenzioni specifici.

Nel caso in cui il file possa essere poi scaricato ed utilizzato da altre persone. 

SAP ha creato un framework per gestire questo aspetto diviso in due macrocategorie:

• NW-VSI (NetWeaver Virus Scan Interface) -> Il framework che può essere utilizzato da possibili fornitori, per scrivere le regole di controllo, indipendente dall'applicazione SAP. Qui trovi le specifiche tecniche e quali sono possibili vendor:
  • 1494278 - NW-VSI: Summary of Virus Scan Adapter´s for SAP integration
• VSI (Virus Scan Interface) -> L'interfaccia SAP applicativa verso il NW-VSI, un livello di astrazione di fatto.

Ne esistono due versioni di NW-VSI:

• La 1.0, ormai obsoleta basato solo su firme
• La 2.0, attiva dal 2013, più completa
  • basato su firme per riconoscere virus
  • blocco di contenuto malevolo (es. Javascript)
  • Identificazione e filtro di determinati tipi documento (problematiche di XSS Cross Site Scripting)

Mentre la parte VSI permette principalmente di:

• usare potenzialmente molteplici engine Antivirus in parallelo
• creare un livello di astrazione 
• gestire i log tramite il Security Audi Log
• si possono sottoporre i propri programmi custom, che lo richiedono, ai controlli dell'antivirus (Transazione SE24 classe CL_VSI)

Nei sistemi ABAP attraverso la transazione VSCANPROFILE è possibile attivare il controllo (campo Active selezionato).

Dove vedo se ci sono state infezioni?

Tramite il Security Audi Log, se configurato, è possibile vedere degli eventi specifici.

Qualcosa può sfuggire o non essere scansionato?

Si, ad esempio, dei pacchetti crittografati (es. zip). In questo caso è possibile utilizzare uno specifico parametro per tracciare questo evento: CUST_NOT_SCANNED_AS_WARNING. Attraverso questo parametro associato al Virus Scan Profile è possibile sapere se qualcosa non è stato scansionato.

Qualche dubbio, contattaci qui!