Cyber Security SAP
Prevenir é mais barato e muito melhor do que remediar, dizem todos aqueles que já passaram por dificuldades, seja em que âmbito for! E pensando nisso, adicionando um fato recente e extremamente relevante, que foi noticiado em todas as mídias, quando ocorreu um importante ataque cibernético, numa das maiores redes varejistas do Brasil, precisamos realmente investir em prevenção e nos cuidados que um ambiente de TI seguro requer.
Todos ficaram assustados e preocupados com o ocorrido, sejam CSO, CIO, CTO, CEO, Gerentes, Diretores, ou mesmo alguém que seja responsável pela segurança de TI de alguma empresa e, num ponto todos concordam: É notório que boa parte das invasões cibernéticas ou vazamento de dados estão relacionados a erros humanos. Os colaboradores das organizações, na grande maioria das vezes, proporcionam brechas de segurança não intencionais, por diferentes maneiras.
Pois bem, como somos especializados em SAP Security, vamos abordar como este tema afeta os sistemas SAP, a saber:
As brechas mais frequentes identificadas nos sistemas ERPs da SAP estão relacionadas a sistemas desatualizados em relação aos patches de segurança providos pelo fabricante; usuários de negócio com privilégios além do necessário; parâmetros de configuração do sistema mal utilizados; política de segurança da informação (PSI) dos usuários em relação a sua responsabilidade de proteção dos ativos de TI (por exemplo senha e compartilhamento de dados); e por fim, porém não menos importante, a falta de conhecimento dos administradores de sistemas sobre a arquitetura de segurança provida nas soluções SAP.
O Fator Humano e suas Principais Falhas na Segurança dos Ambientes SAP
Vários órgãos de pesquisa constatam o crescimento contínuo das invasões cibernéticas nas organizações e apontam o fator humano como sendo o elo mais fraco neste cenário. Sistemas SAP ERPs não estão imunes a ataques cibernéticos, pelo contrário, eles começam a surgir cada vez com mais frequência, especialmente em consequência do aumento da exposição destes sistemas para a Internet.
Atualmente, grande parte das empresas que utilizam sistemas SAP estão com projetos em andamento ou executando plano estratégico de migração para o S/4HANA. A busca por alternativas de hospedagem dos sistemas SAP ERPs na nuvem passa a ser mais frequente diante desta tendência de mercado e dos benefícios que o modelo proporciona, em termos de custo e acessibilidade. Com as aplicações SAP ERPs na nuvem, os acessos dos usuários aos ambientes produtivos passam a ocorrer via Internet e, principalmente, através de apps FIORI. Diante de toda esta movimentação de melhoria tecnológica e, portanto, quebra de paradigma em relação a arquitetura e plataforma SAP em nuvem, não se pode esquecer das práticas mínimas de segurança recomendadas.
*** E aí vem a pergunta: Sua organização está tratando a segurança da informação SAP com a devida atenção?
As pessoas e a relação delas com os ataques cibernéticos bem sucedidos
A figura abaixo lista as principais soluções SAP para o contexto Segurança da Informação das aplicações SAP. As alternativas de ferramentas e soluções de segurança providas pela SAP não se limitam apenas às mencionadas abaixo. Por exemplo, a Plataforma SAP Netweaver e SAP HANA oferecem juntas uma grande variedade de ferramentas, protocolos e mecanismos embarcados (não requer licenciamento) que apoiam no estabelecimento das práticas mínimas de segurança da informação necessárias para sistemas SAP ERPs considerados críticos para as organizações.
Invasões cibernéticas nos sistemas SAP ERPs podem ser prevenidas ou evitadas em muitos casos com ações simples que envolvem, por exemplo, obter o conhecimento da arquitetura de segurança embarcada nas soluções SAP e colocá-las em prática. No site da SAP é possível encontrar informações detalhadas sobre ferramentas embarcadas na plataforma (não requerem licenciamento), configurações, parâmetros e protocolos que suportam as melhores práticas de segurança de informação. Para facilitar, a SAP possui um mapa de segurança que ilustra as diferentes camadas de segurança. A figura abaixo mostra a versão mais atualizada do mapa de segurança fornecido pela SAP e nele é possível visualizar as diferentes áreas no contexto de segurança cobertos por cada camada.
Mapa de Segurança
O mapa de segurança apresentado acima faz parte do “SAP Security Baseline Template” que é um documento template fornecido pela SAP para apoiar as organizações na definição de práticas de segurança estruturadas. O documento contempla as práticas de segurança mínimas recomendados pela SAP para as diferentes camadas de segurança apresentadas. Para baixar a versão mais recente do documento, basta acessar a nota e clicar nos links – Nota 2253549 – The SAP Security Baseline Template
Uma medida simples para reduzir a exposição aos riscos de ataques cibernéticos nos sistemas SAP ERPs é fazer uso das práticas de segurança apresentadas neste documento “Security_Baseline_Template_V2”, disponibilizado na nota SAP 2253549. O documento descreve aspectos de segurança para cada camada do mapa de segurança com detalhamento técnico sobre parâmetros de configuração e sua classificação de relevância (Crítico, Padrão e Estendido) para o sistema.
Outra ferramenta embarcada na plataforma SAP (não requerer licenciamento) que contribui muito com o processo de redução da exposição aos riscos de ataques cibernéticos nos sistemas SAP ERPs é a solução SAP Security Optimization Service – SoS. Essa solução realiza análise de aproximadamente 200+ indicadores de riscos relacionados a segurança da informação, o relatório final apresenta detalhes técnicos de cada vulnerabilidade identificada, classificação do risco em Alto / Médio / Baixo e recomendação de plano de ação para identificar a causa raiz e mitigar o problema.
Em resumo, nem sempre é a melhor opção sair a procura do melhor sistema ou hardware de segurança para a resposta para seu problema. Com base na estatística, boa parte das invasões cibernéticas e vazamento de informações ocorreram por erro humano, de dentro para fora das organizações, em decorrência do mal uso ou falta de conhecimento dos mecanismos de segurança presentes na plataforma SAP.
A TrustSis é a única empresa especializada e de nicho em segurança SAP no Brasil, com know-how, método e soluções para ajudar as empresas a reduzir esses GAPs de segurança apontados nesse artigo. Nós desenvolvemos um método próprio, denominado TRUSTSIS BLUEBOX, que proporciona uma alternativa aos clientes SAP para executarem um PenTest especializado em SAP. Quer saber mais, entre em contato conosco!
– Seguem exemplos do nosso método BlueBox e como classificamos a maturidade da segurança em uma organização.
TOP 5 DICAS PARA AJUDAR NA ESTRATÉGIA DE SEGURANÇA SAP
1) Elimine os privilégios desnecessários de todos os usuários dos sistemas SAP.
– Identifique Riscos de segregação de função (SoDs) nos usuários e faça o saneamento o quando antes.
2) Verifique as interfaces de comunicação com seu sistema produtivo.
– Muitas RFCs possuem privilégios SAP_ALL desnecessário.
3) Estabeleça um procedimento básico de segurança para os novos desenvolvimentos SAP.
– As empresas não estão se atentando aos riscos proporcionados por codificação insegura, principalmente se eles estiverem expostos na internet via apps Fiori etc.
4) Faça o mapeamento da arquitetura de TI SAP para com informações sobre todas as relações de confiança entre sistemas, mecanismo de acesso utilizados por usuários, protocolos de segurança ativos etc. e determine se as configurações mínimas de segurança recomendados pela SAP estão ativas.
5) Estabeleça procedimentos de monitoramento continuo utilizando ferramentas e soluções embarcadas (não requerem licenciamento) na plataforma SAP, por exemplo, RSecNotes, SAP SOS, SAP ATC, SAP RAL, SAP Solman etc.)