SAP Audit - Vulnerability Assessment - Penetration Test
Non è affatto semplice stabilire se un sistema è sicuro o meno. Lo è ancora di più, a nostro avviso, se lo gestiamo o ne siamo in contatto ogni giorno.
È un po’ come scrivere un articolo o un libro, gli errori sono difficili da trovare se lo rileggiamo noi stessi. Se lo facciamo leggere ad altri spesso emergono imprecisioni o inesattezze non viste in precedenza.
È importante avere un punto di vista esterno che evidenzi anomalie o migliorie le quali sono più o meno difficili da vedere per chi amministra i sistemi ogni giorno.
Avere la consapevolezza che i propri sistemi siano ben gestiti oppure abbiano qualche problema è sicuramente un vantaggio rispetto a non avere alcuna percezione a riguardo.
Indice
Come detto in precedenza se vogliamo avere una fotografia dello stato di salute, dal punto di vista security del nostro sistema. Meglio sapere prima se possono esserci problemi, rispetto a scoprirlo dopo quando può essere troppo tardi.
Spesso infatti ci si attiva sulle tematiche security quando ormai è troppo tardi. Ovvero quando abbiamo subito un furto di dati oppure quando un audit esterno o interno evidenza delle non conformità.
In queste situazioni, avere effettuato un audit sistemando a seguito le eventuali anomalie o avere un piano di remediation può essere strategico.
Perché conviene affidarsi a società specializzate?
I sistemi SAP sono diventati nel tempo sempre più integrati con sistemi terzi e sempre più ricchi di funzionalità. La gestione operata da attori diversi, azienda stessa, consulenti esterni, spesso di diverse società e con alto turnover. Tutto questo ha contribuito a far diventare la complessità di gestione di questi sistemi molto elevata.
Le competenze necessarie per comprendere tutte le possibili configurazioni degli aspetti di sicurezza, che vanno dalla profilazione SAP, alla sicurezza delle configurazioni applicative, di sistema e di infrastruttura, oltre alla sicurezza del codice richiedono una forte specializzazione.
Quasi mai in azienda esistono competenze così specifiche e verticali. Per questo motivo è utile avere un parere terzo da società che sono specializzate esclusivamente nel campo della security SAP.
Come scegliere la società a cui affidarsi?
Sono diversi gli aspetti da tenere in considerazione prima di scegliere la società che effettuerà l’audit dei sistemi.
- Certificazioni aziendali specifiche o certificazioni ISO, in particolare ISO 27001.
- La certificazione ISO 27001 richiede il superamento di controlli specifici per la gestione sicura dei dati.
- Focus verticale e fatturato specifico sull’area di riferimento
- Quanto la società si occupa realmente di security? È una minima percentuale sul fatturato globale oppure è uno degli aspetti strategici della società?
- Dipendenti verso collaboratori esterni.
- Una società che si occupa di sicurezza informatica dovrebbe avere la percentuale maggiore se non totale di dipendenti
- Esempi di risultati di audit eseguiti in precedenza
- Coperture assicurative
- Case history
- Sono utilizzati dei software specifici per eseguire degli audit a supporto delle valutazioni umane?
Avere un modello o framework preciso da seguire può aiutare la presentazione e la preparazione dei risultati oltre a seguire un modello riconosciuto.
Perché la terminologia è importante?
Vengono spesso utilizzati termini come i seguenti:
- Security Audit o Security Assessment
- Penetration test
- Vulnerability asssessment
In alcuni casi usati come sinonimi, ma ognuno di questi ha uno specifico significato.
Con security audit o assessment si intende una verifica dei propri sistemi, con maggiore dettaglio del livello applicativo, dato un certo insieme di regole che vengono ricercate. Ad esempio:
- I sistemi sono allineati oppure si sviluppa direttamente in produzione?
- Quanti sono gli utenti con autorizzazioni critiche in produzione?
- Le connessioni tecniche tra i sistemi sono protette?
- Vengono protette le connessioni con la crittografia dei dati trasmessi?
Il numero di regole può variare in base al tipo di audit, solitamente viene definito in base alle esigenze.
Mentre un vulnerability assessment (VA) è una attività che si concentra sulla parte applicativa ma anche architetturale andando a ricercare delle vulnerabilità note oppure non note. Può essere effettuata con l’aiuto di software specifici ed una valutazione umana. Quest’ultimo rappresenta il vero valore del servizio.
Di particolare attenzione, in questi casi, è chiarire subito come sarà condotto il VA. Si saranno utilizzati esclusivamente software disponibili sul mercato (open source oppure a pagamento) oppure ci sarà una componente umana come ulteriore verifica.
In questo caso una volta che la vulnerabilità viene rilevata, non ci sono ulteriori azioni per sfruttarla. Ne viene data semplicemente evidenza.
Per penetration test (PT) si intende la verifica della possibilità di riuscire a trafugare informazioni. In altre parole, sostituirsi ad uno specifico attaccante.
Vediamo come funziona e cosa prevede il servizio di SAP Security Audit.
Come funziona un SAP security audit?
Una volta completato l’iter formale di approvazione dell’intervento, comprensivo di NDA. Il processo prevede alcuni passaggi:
- Condivisione degli elementi da ricercare/verificare, partendo da un catalogo pre-definito ma con possibilità di personalizzazioni
- Installazione di un estrattore, nel sistema SAP oggetto delle analisi, installabile anche anche in un ambiente di pre-produzione (lo scarico dei dati richiede più o meno 20 minuti di elaborazione. In alternativa, può essere effettuato completamente tramite la tecnologia RFC (senza installare alcun software in SAP). In questo ultimo caso è necessario avere accesso diretto al sistema.
- Una volta effettuato lo scarico dei dati avviene l’elaborazione degli stessi
Al termine delle elaborazioni vengono presentati i risultati, il tutto in 10 giorni lavorativi.
Cosa succede dopo averlo fatto?
A seguito di qualsiasi azione di verifica è normale che alcuni interventi di rimedio siano necessari. Questi interventi possono essere effettuati in autonomia da parte del cliente oppure con il nostro supporto.
In ogni caso viene fornito l’elenco delle azioni da dover svolgere all’interno del sistema. Più in dettaglio, ogni scheda dell’audit riporta i seguenti elementi:
- che cosa viene ricercato. Oltre a citare cosa viene cercato viene anche riportata quale dovrebbe essere la situazione ideale
- cosa è stato trovato a sistema. Ovvero il risultato di quanto presente a sistema al momento dell’analisi dei dati
- quali sono i commenti da parte di chi ha effettuato l’audit
- quali azioni devono essere apportate affinché il controllo sia superato
- eventuali allegati che permettono di vedere i sorgenti dei ragionamenti effettuati o come supporto del findings rilevato
- grado di criticità
- eventuali schemi normativi di riferimento (ad esempio: Dlgs. 231/2001, Legge 262/2005, Legge 300/1970, SoX, Dlgs. 196/2003, UE 679/2016 GDPR – Dlgs. 101/2018 - , ISO27001, ISO29134, ISO29151, ISO9001)
- Ogni area di ricerca ha un certo insieme di schede di riferimento, Segregation Of Duties (SoD), Basis, Best Practices SAP, Log and Trace, HR (Risorse Umane, Human Resource), GDPR
Ha senso avere uno strumento di controllo periodico? Come conviene procedere?
Per loro natura le verifiche di audit, VA o PT sono soggette ad obsolescenza. I sistemi vengono aggiornati o modificati di frequente. Un approccio più strategico prevede la verifica dei sistemi tramite dapprima un audit ed a seguito dei PT/VA periodici.
Al termine delle verifiche diventa essenziale porre in essere degli strumenti per il monitoraggio costante security SAP e pianificare delle sessioni di verifica durante il tempo.
Aglea ha realizzato uno strumento che permette di tenere sotto controllo le configurazioni dei sistemi. In real-time. Attivando delle alert personalizzabili per gestire le non conformità rilevate.
Come Aglea ti può aiutare?
Dal 2003 effettuiamo dei servizi di security auditing dei sistemi SAP. Abbiamo sviluppato un framework di controlli (più di duecento) specifici per l’ambiente SAP. Questi controlli non riguardano esclusivamente il sistema SAP ERP ma anche altri sistemi SAP (BW, S/4HANA, GRC, CRM, SRM IS-U, IS-M ed altri).
Possiamo evidenziare le non conformità, suggerendo le modifiche da apportare al sistema. Siamo inoltre in grado di supportare la modifica delle configurazioni di sistema al fine di chiudere le evidenze emerse durante la fase di audit.
Oltre ad effettuare audit, realizziamo anche Vulnerability assessment o Penetration test dei sistemi SAP.
Abbiamo inoltre introdotto un ulteriore security audit specifico per gli sviluppi custom (nel linguaggio di programmazione SAP: ABAP) effettuati dal cliente. Questo audit permette di analizzare tutto il codice custom creato nel tempo dal cliente andando a ricercare non solo le vulnerabilità security ma anche effettuando una valutazione su robustezza del codice, manutenibilità nel tempo e performance.
Guarda le nostre certificazioni e case history.
Articoli Suggeriti
Tabelle Ruoli Profili ed Autorizzazioni SAP
SAP contiene centinaia di migliaia di tabelle al suo interno. In alcuni casi l'accesso diretto a queste tabelle permette di recuperare più velocemente le informazioni.
Di seguito un elenco delle tabelle legate all'area:
- Ruoli SAP
- Profili SAP
- Utenti
- Autorizzazioni
- Oggetti di autorizzazione
SAP Security Audit Log, le nuove funzionalità
Questo strumento consente di effettuare un trace a livello applicativo delle attività di una o più utenze SAP. Può essere inoltre utilizzato per collegare SAP ad un SIEM (Security Information and Event Management) terzo oppure la soluzione SAP Enterprise Threat Detection (ETD).