Esistono alcuni strumenti SAP, ad esempio, l'EWA SAP EarlyWatch Alert o SOS Security Optimization Service (SOS) dove non è possible personalizzare delle soglie o accettare alcuni rischi. O comunque non in tutti i casi.
Come farlo nella suite di SecurityBridge?
SAP Analisi rischi cyber
Esistono tante tipologie di rischi, come sappiamo in letteratura. rischi di accesso, rischi cyber, rischi strategici e così via.
In questo caso parliamo di rischi di sicurezza.
Infatti, tramite lo strumento SecurityBridge nel modulo chiamato Security & Compliance Monitoring è possibile definire tutta una serie di verifiche per controllare in maniera continuativa i sistemi SAP.
Sono molti i controlli già predefiniti nello strumento (più di 400) questi derivano dalle Security Template (2253549 - The SAP Security Baseline Template) di SAP o altre fonti, non per ultimo l'esperienza sul campo.
Quali soluzioni out-of-the box esistono in SAP?
Come detto esistono diversi sistemi che la SAP offre (non a pagamento) che possono essere usati ad esempio:
- EWA SAP EarlyWatch Alert o
- SOS Security Optimization Service (SOS) o
- System Reccomandation
Nel primo EWA troviamo un piccolo capitolo relativo ai controlli di sicurezza. Nel secondo una sezione più estesa ed infine nel terzo il riepilogo delle patch di sicurezza.
Sono certamente strumenti alla portata di tutti che possono essere estremamente utili nella fase di avvio di un processo di controllo continuo.
Tuttavia, quando i sistemi iniziano ad essere diversi, così come gli attori in gioco, così come il tempo da dedicare per poter presentare dei risultati, è necessario valutare scelte più complete e strutturate.
Soluzioni SAP security a pagamento
Anche in questo caso la SAP offre diversi strumenti (non necessariamente in un unico prodotto) es. SAP CVA per l'analisi del codice, SAP ETD per la gestione delle minacce o versioni in cloud analoghe in caso di adozione di "RISE with SAP"
Ma esiste anche uno strumento altrettanto completo che permette in una unica suite di avere tutto a disposizione. Compresa la possibilità di accettare alcuni rischi. SecurityBridge nel modulo chiamato Security & Compliance Monitoring.
Nelle soluzioni out-of-the-box infatti non è possibile "accettare" alcuni rischi o personalizzare le soglie predefinite dal sistema. E questo può rappresentare un problema.
Come accettare un rischio con SecurityBridge
La prima azione è quella di identificare uno dei controlli disponibili, nel nostro caso "Limit Web-Enabled Content on ABAP"
Una volta entrai è possibile vedere le sotto-categorie (chiamate "Use Case"
Nel nostro caso "0001 - Critical ICF services", entrando è possibile vederne il dettaglio. Ovvero tutti i servizi SAP esposti che SAP reputa essere critici e che quindi dovrebbero essere disattivati.
Selezionando il box sulla sinistra in corrispondenza della riga è possibile vedere nella parte bassa la voce "Accept Risk"
È quindi possibile inserire
- una motivazione
- una durata
- l'applicabilità dell'accettazione su singola macchina o landscape (es. DEV,QAS,PRD)
- applicabilità su un determinato set di regole (Baseline)
- una descrizione estesa o un allegato
Una volta applicata la regola sarà poi possibile vederla singolarmente
O anche massivamente nella funzionalità di reporting del sistema
Quando è utile ad esempio?
- Per limitare in fase di remediation alcuni risultati
- Per evitare di vedere risultanze dello strumento dopo verifica che ci sia conformità alle proprie policy/procedure
- Per documentare un determinato stato (sicuro o non)
