Vulnerabilità SAP: codice rosso

Posted by Massimo Manara on Jan 3, 2024 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Ma chi ha stabilito che abbiamo un problema? Quali sono i criteri per i quali considerare critica una determinata vulnerabilità o meno? 

 

traffic-light-red

 

E soprattutto come comportarsi quando i rossi diventano troppi? Sono davvero tali?

 

 

Analisi delle vulnerabilità nei sistemi SAP

Eseguiamo sempre più spesso attività di questo tipo in consulenza. E, dopo tante situazioni, possiamo provare a fare qualche considerazione a riguardo.

 

Inizio facendo una metafora, che tutti noi conosciamo, ovvero gli esami del sangue. In questo tipo di verifica si analizza il nostro sangue ed i valori su diverse ricerche vengono confrontati con delle soglie di riferimento.

 

Sostanzialmente è molto semplice il risultato: se sei all'interno delle soglie previste va bene, altrimenti iniziano a comparire gli asterischi!

 

Nell'analisi delle vulnerabilità dei sistemi SAP in molti casi il ragionamento è davvero molto simile alla metafora sopra.

 

Tuttavia, l'applicabilità delle soglie a mio avviso potrebbe essere diversa. Se è vero che in molti casi le soglie sono comuni (ovvero indipendentemente dalla società o dal contesto). In altri casi invece è necessario non generalizzare.

 

Come leggere i controlli in "Rosso"

 

In molte suite di controllo esistono i famosi semafori o il concetto di Pass o Fail che determina se un determinato controllo è stato superato o meno.

 

Non sempre, tuttavia, i rossi sono necessariamente dei problemi. Ad esempio, nel caso dell'utilizzo del servizio Secure Optimization di SAP non è in tutti i casi possibile creare delle personalizzazioni.

 

Questo significa che una regola definita da SAP. Ad esempio, basata sul rapporto tra la numerosità degli utenti rilevati per un certo criterio di ricerca rispetto al totale attivi diventa critica o meno. 

 

Ma se nella mia installazione è tutto presidiato e corretto così, perché dovrei avere un problema?

 

 

Sostanzialmente sono anche altri i casi nelle suite di controllo che producono molti risultati che tuttavia devono essere analizzati e, a mio avviso, contestualizzati nella propria realtà.

 

L'accettare in maniera incondizionata tutto quello che un determinato strumento produce (come segnalazioni critiche o meno), non è sempre un approccio ideale. 

 

Chiaramente se è possibile fare in modo che sia tutto "Verde" è ideale. Ma nei casi dei "Rossi" non sempre si è nella condizione di avere un problema.

 

Ecco che in questi casi la nostra esperienza ha fatto la differenza, specialmente nell'utilizzo di strumenti automatizzati.

 

Avere più di uno strumento per svolgere la medesima tipologia di controllo è sicuramente utile (ma non tutti possono permettersi una infrastruttura ridondata) per identificare eventuali falsi negativi. 

 

Ma almeno per i falsi positivi è sicuramente utile approfondire le casistiche e non fermarsi al primo risultato fornito dagli strumenti.

 

Approfondisci anche in questo articolo "Shedding Light on CVSS Scoring Inconsistencies: A User-Centric Study on Evaluating Widespread Security Vulnerabilities" le possibili anomalie del sistema di scoring CVSS.

 

Iscriviti al blog se ancora non lo hai fatto!

 

 

 

 

Topics: vulnerability assessment, sap vulnerability

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy