Ma cosa significa essere più esposti rispetto ad altre organizzazioni? Come questo ha un impatto anche per i sistemi SAP aziendali?
Come puoi verificare il grado di esposizione della tua azienda?
Rappresenta un insieme di elementi che definisce per ogni azienda il grado di esposizione dei propri dati.
Ovvero dati personali, informazioni legate alla proprietà intellettuale o altri dati che possono essere presenti e quindi esposti pubblicamente, quando in realtà non dovrebbero esserlo.
Si tratta di una iniziativa (Cyber Exposure Index) dove sono raccolti, paese per paese, le società per le quali si ha notizia di problematiche relative alla gestione dei propri dati, sotto diversi aspetti:
La lettura di questi dati da fonti pubbliche permette di costruire un indice di esposizione per ogni società che va da 0 (ovvero nessuna problematica rilevante), Low Exposure, passando per 100-200 come alta esposizione fino ad arrivare a 300+ con esposizione critica.
Qui, ad esempio, è possibile vedere un estratto del Cyber exposure risk index per le società italiane presenti
Approfondisci qui: https://cyberexposureindex.com/cyber-exposure-index/
Attenzione, alcuni di questi servizi sono iniziative di privati per iniziative commerciali
Si tratta di un acronimo che significa Open Source Intelligence. Di fatto può essere visto come un processo che permette di raccogliere informazioni pubbliche, quindi disponibili a chiunque, per ottenere un possibile vantaggio.
Le informazioni possono quindi essere reperite su qualsiasi canale e forma (online oppure offline).
Tramite questa tecnica è possibile quindi recuperare una serie di informazioni che possono essere utilizzate contro l'azienda di turno.
Sì, esistono diversi strumenti per poter iniziare a verificare il proprio grado di esposizione dei dati aziendali, vediamone alcuni.
Il primo si chiama Have I been Pwned permette di capire se sono state sottratte delle credenziali.
Perché diventa utile verificare se sono state sottratte credenziali? Perché può essere critico per SAP?
Può capitare che le credenziali usate dai collaboratori dell'azienda, anche per servizi personali es. Facebook, Instagram, Amazon etcc siano le medesime utilizzate in azienda.
In questo caso chi arriva ad ottenere le credenziali personali di una persona potrebbe facilmente individuare la società dove questa persona lavora e da lì avere una possibilità in più per ottenere ulteriori dati.
Un ulteriore strumento, in questo caso per capire se ci sono servizi esposti, quindi macchine, server o sistemi SAP si chiama Shodan.
Inserendo la parola SAP è possibile vedere e filtrare ad esempio per paese e città tutti i sistemi esposti, in alcuni casi con l'indicazione del tipo di sistema e versione.
Questo servizio permette, inserendo delle chiavi di ricerca particolari, di vedere quali servizi sono pubblicati e raggiungibili pubblicamente.
Un ulteriore strumento che tutti conosciamo già è Google. Sì, perché tramite questo servizio, inserendo determinate chiavi di ricerca è possibile vedere quali siano alcuni sistemi SAP esposti.
Esistono inoltre dei siti specializzati nel fornire queste chiavi di ricerca da usare tramite Google ad esempio Exploit-DB. Nell'immagine sotto un esempio, cercando la parola SAP nel database del servizio.
Un ulteriore esempio è tramite l'utilizzo dei comandi descritti anche qui, tramite Google (Google Hacking).
Dalle informazioni presenti, ad esempio, possibile capire se un sistema è aggiornato o meno (nel caso sotto sembra essere un sistema datato, 2002-2005):
Provando quindi a sfruttare vulnerabilità note, soprattutto su sistemi esposti, ad esempio SAP Router o SAP Web Application Server.
Tenendo aggiornati i tuoi sistemi (migrando ad S/4HANA, ad esempio, e mantenendo un aggiornamento costante delle SAP Security Patch) puoi ridurre la tua possibile esposizione.