Cosa significa gestire le vulnerabilità nei sistemi SAP? Cosa facciamo quando ci viene chiesto di farlo e come?

Leggi l'articolo per approfondire quali sono i quattro suggerimenti per partire!

Vulnerabilità nei sistemi SAP

Parto dal presupposto che conosci cosa siano le vulnerabilità e come queste vengono gestite nei sistemi diversi da SAP.

Chiaramente il processo non è molto distante rispetto a quello che avviene nei sistemi che magari stai già gestendo.

Spesso ci confrontiamo sulla tematica con i CISO aziendali e non sempre i sistemi SAP sono considerati nel proprio "radar" per diverse ragioni:

• solitamente in azienda è un gruppo IT specifico che si occupa di SAP (e quindi questi sistemi non sempre sono presidiati da IT Security come altri)
• chi è abituato a gestire l'IT security spesso non conosce le logiche di questi sistemi
• la SAP stessa sconsiglia in diversi casi l'utilizzo di strumenti di scanning generici in quanto, al momento, evidenziano molti falsi positivi. Vedi ad esempio il caso di Qualys (2300088 - Qualys and SAP NetWeaver AS ABAP/Java)

The Qualys software is not a Certified SAP Partner product for NetWeaver Java, hence undesired effects may happen when using it directly in the AS Java, in the local network or bypassing a reverse proxy.

• Sono anche altri i casi di penetration test o vulnerability assessment effettuati che evidenziano falsi positivi a seguito di confronto con la SAP o di vulnerabilità dovute a mancanza di aggiornamenti o di componenti non legati alla SAP
  
  • 2929868 - How to isolate Security Vulnerability issue from AS Java perspective
  • 2191528 - Third-party report showing security vulnerabilities

• In molti casi SAP (non come sistema, ma come eco-sistema) viene vista come una blackbox dove è difficile entrare e addirittura parlare con gli interlocutori che attualmente gestiscono in azienda quei sistemi.

Vulnerability Management in SAP come are?

Quattro passaggi che ti aiutano a decidere e svolgere delle azioni concrete.

Il primo passaggio che ti suggeriamo è quello di recuperare in azienda la propria mappa dei sistemi SAP presenti ed utilizzati. Sembra semplice, ma vedrai che potrebbe non esserlo.

Devi infatti sapere anche che:

• Anche se il SAP ERP è il sistema al quale ci si riferisce maggiormente quando si pensa a SAP in realtà esistono molti altri sistemi della famiglia
  • SAP per la gestione dei clienti (CRM) oggi il sistema SAP C4C
  • SAP SRM per la gestione dei fornitori (SRM) oggi il sistema Ariba
  • SAP per la gestione dei rimborsi spesa es. Concur
  • SAP per la gestione delle risorse umane SAP Success Factors
  • e molti altri qui trovi una lista di tutti i possibili sistemi dalla A alla Z
    
• Ogni sistema SAP può avere diversi ambienti (ad esempio sviluppo, test e produzione)
  
  
• Ogni sistema SAP può essere sviluppato con tecnologie diverse. Principalmente ci sono tre divisioni al momento
  • Sistemi ABAP (ovvero i sistemi che sono sviluppati con il linguaggio di programmazione SAP ABAP)
  • Sistemi JAVA (ovvero sistemi che sono stati sviluppati da SAP in linguaggio JAVA), ad oggi una minima parte del totale.
    • Questi sono quelli che statisticamente hanno le maggiori vulnerabilità. Guarda qui come scaricare tutti i componenti JAVA del sistema (1757810 - How to get the complete list of software components on your NetWeaver Application Server Java)
  • Sistemi nativi Cloud
  • Esiste la possibilità che siano più stack in un sistema ad esempio ABAP più JAVA
  
  
  
• Nel caso del SAP ERP devi sapere che la SAP ha pianificato un cambiamento importante entro il 2027. Ovvero che il SAP ERP ECC (ERP Central Component) sta cambiando, ovvero sarà sostituito da un nuovo sistema, sempre ERP, ma chiamato SAP ERP S/4HANA
  
  • Anche se lato tuo potrebbe essere considerato un rebranding in realtà sono diverse le cose che cambiano, ad esempio
    • il database potrà essere solo quello di SAP ovvero il database HANA (attenzione che HANA ed S/4HANA sono due cose diverse. Il primo è il database il secondo è la parte applicativa, spesso vengono usati come sinonimi). Quindi devi fare un VA su HANA o S/4HANA? Chiaramente sarà una attività con un "target" diverso.
    • S/4HANA rispetto ad ECC ha introdotto diverse modifiche in ottica Security by default, ma al momento il passaggio non è ancora terminato (ed in qualsiasi fase dell'installazione o configurazione è possibile decidere se adottare o cambiare i settaggi di default, aprendo delle potenziali falle)
    • L'architettura di S/4HANA può essere diversa da quella ECC questo dipende dall'approccio dell'upgrade che è stato scelto
  
  
  
• In generale come sai, nessun sistema è sicuro. Tantomeno SAP, quindi le false convinzioni di un sistema tedesco a prova di proiettile, così come qualsiasi altro sistema sono pura fantasia. Sicuramente la SAP è un fornitore molto attento a questi aspetti e fornisce supporto immediato in caso di bisogno; tuttavia, nessuno può essere sicuro di aver rilasciato un software privo di vulnerabilità.

Secondo passaggio. Identifica un caso di prova, su quale sistema ha senso concentrarci. Chiaramente in questo caso sono diversi i fattori da tenere in considerazione:

1. Quali sono i dati gestiti dal sistema stesso?
   1. Sono dati rilevanti per l'azienda?
   2. Sono dati dell'azienda rilevanti per il mercato?
   3. Sono gestiti dati personali? In che volumi?
2. Si tratta di un sistema interno o esposto alla rete?
3. Si tratta di un sistema sviluppato con tecnologie più soggette a vulnerabilità?
4. È un sistema aggiornato di frequente o meno? Magari non è così semplice aggiornarlo?
5. È un sistema in dismissione? È un sistema oggetto di upgrade a breve?

Quelli sono solo alcuni dei driver per provare ad identificare un primo sistema "pilota" per

avviare una indagine di questo tipo.

Terzo passaggio. Che controllo fare? Sono diversi i controlli che puoi svolgere, ovvero quale/i superficie di attacco vuoi considerare? Alcune sono applicabili al sistema scelto altre magari no o in parte. Ad esempio:

• Audit Applicativo
• SAP Security Vulnerability Assessment, ad esempio sono controllati questi aspetti:
  • Autorizzazioni IT critiche
  • Configurazione del sistema non corrette
  • Patch di sicurezza non applicate
  • Configurazioni del database (HANA) o sistema operativo non corrette
  • Gestione dei processi di autenticazione e crittografia dei dati non corretti
    
• Secure Code scanning

Ognuna di queste aree mostra chiaramente determinati risultati, cosa vuoi fare e su cosa vuoi concentrarti, tutto o parte di questi?

Quarto passaggio. Come effettui il controllo. Ovvero, una volta identificato il sistema, che sia ABAP o JAVA o Cloud come controlli?

Come potrai immaginare ogni sistema ha un set esteso di controlli possibili. Certamente è possibile fare dei controlli manuali, ma significa lasciare l'accesso a terzi, e sicuramente non sarò possibile controllare il più possibile. Per questo motivo suggeriamo di utilizzare degli strumenti che permettano di automatizzare i controlli utilizzando la nostra esperienza per poi leggere e calibrare correttamente le analisi e soprattutto i risultati.

Voi provare a sentire cosa possiamo fare per te su questo argomento? Contattaci!