AGLEA SAP Security Blog

SAP Data Loss Prevention, cosa fare?

Scritto da Massimo Manara | Oct 20, 2020 10:00:00 PM

Che cosa significa Data Loss Prevention?

 

Significa "mettere in campo" tutte le azioni possibili per evitare fughe non autorizzate di dati.

 

Fuga di dati e perdita di dati hanno significati molteplici. Ma come è possibile fare in SAP?

Come è possibile prevenire e controllare l'esportazione dei dati da SAP?

Purtroppo, non esiste un unico strumento o una sola configurazione da attivare negli ambienti SAP.

 

Piuttosto esistono diverse soluzioni che possono essere usate. Alcune di queste già disponibili altre a pagamento.

 

Diversi sono gli ambiti da gestire e controllare:

  • La comunicazione di dati, sotto diversi aspetti. Server to Server oppure Client to Server
  • I backup dei dati o eventuali file depositati in transito
  • La protezione degli end point o client
  • L'esportazione applicativa dei dati da SAP
  • L'esportazione dei dati a livello di database

 

Sono solo alcuni degli esempi sui cui lavorare.

 

SAP Security Audit Log

Si tratta di una funzionalità già disponibile in SAP ECC o SAP S/4HANA o comunque su tutti i sistemi ABAP based, che permette di tracciare tutta una serie di eventi, tra cui anche l'export dei dati da SAP (nelle ultime release).

 

Leggi qui come funziona e come configurare il SAP Security Audit Log.

 

SAP Field Masking

In questo caso, tramite questo add on SAP a pagamento è possibile attivare due principali funzionalità:

 

  • Data Masking o Data Obfuscation ovvero, a livello applicativo, quindi non a livello modifica dei dati nel database i dai vengono resi non leggibili, ad esempio tramite l'uso di asterischi ***
  • Data Logging in questo caso è possibile identificare delle transazioni critiche da poter controllare in termini di dati acceduti e da chi

 

Quanto sopra è possibile farlo per diversi canali (tecnologie) ovvero:

  • SAP GUI
  • WebDynpro
  • RFC/BAPI Web Service
  • SAP UI5 FIORI

 

Leggi qui l'approfondimento sul SAP Field Masking e come funziona l'UI Logging.

 

SAP HANA Database

Anche i dati a livello di database devono essere controllati, tramite l'utilizzo di SAP HANA, alcuni aspetti relativi alla sicurezza dei dati possono essere più semplici rispetto ad altri database è infatti possibile:

 

  • Fare in modo che tutte le connessioni siano configurate in maniera sicura (utilizzando la crittografia quindi)
  • Puoi fare in modo di crittografare i dati presenti nel database e backup
  • Puoi attivare degli audit log specifici per controllare cosa accade nel sistema

 

Approfondisci qui cosa puoi fare da subito per attivare 4 funzionalità security di SAP HANA

 

SAP RFC, protezione e crittografia delle comunicazioni

Le connessioni verso i sistemi SAP devono essere configurate utilizzando i meccanismi di crittografia per prevenire eventuali intercettazioni di dati.

 

Su diverse superficie di attacco:

  • Client -> Server es. SAP GUI e SAP Application Server
  • Server -> Server es. tra Application Server

 

Devono essere ridotti al minimo i servizi esposti da SAP, in questo caso una funzionalità standard chiamata UCON (Unified Connectivity) può essere di aiuto.

 

Protezione dell'esportazione dei dati

Esistono diverse modalità per esportare i dati da SAP. Qui puoi trovare quali sono i principali modi per esportare i dati da SAP.

 

Uno degli aspetti che tuttavia può essere ulteriormente controllato è quello di fare in modo che determinati documenti (es. PLM ma anche altri dati, finanziari e di bilancio) possano essere protetti anche dopo l'esportazione da SAP.

 

Ovvero rispondere ad esempio alle seguenti domande:

 

  • È possibile avere delle notifiche, ad esempio al SIEM per ogni volta che determinati dati siano stati esportati da SAP
  • È possibile fare in modo che i dati esportati da SAP siano inutilizzabili o crittografati, se esportati in maniera non autorizzata?

 

Quanto sopra può essere fatto tramite una soluzione a pagamento chiamata SAP DAM (Dynamic Authorization Management e SAP Enterprise Digital Rights Management (EDRM) di Nextlabs

 

Come verificare che tutto sia configurato correttamente in SAP?

Ancora una volta non è sufficiente solamente modificare configurazioni o fare progetti ed azioni di remediation. Serve attivare una procedura di controllo costante dei sistemi e delle configurazioni.

 

In questo caso possono essere utili due funzionalità disponibili all'interno di SAP Solution Manager chiamate:

 

Inoltre, è possibile sfruttare anche degli ulteriori software a pagamento come ad esempio il SAP Enterprise Threat Detection.

 

Ti sei già iscritto al nostro canale YouTube?