Yazan: Christoph Nagy, SecurityBridge
Yani SAP sisteminiz ihlal edildi.
Bu olağandışı bir olay olmasa da, acilen ilgilenmeniz gereken ciddi bir sorundur. SAP dünya çapında kuruluşlar tarafından en yaygın kullanılan sistemlerden biri olduğundan ve iş açısından kritik ve dolayısıyla değerli birçok bilgiyi barındırdığından, bilgisayar korsanları sürekli olarak arka kapıları ve istismar edilebilecek güvenlik açıklarını bulmaya çalışır.
İhlalin üstesinden gelinmesi ne kadar uzun sürerse, bilgisayar korsanları şirketinizin SAP platformunda barındırdığı verilere o kadar uzun süre erişebilir ve daha fazla zarar verebilirler.
İlk adım, siber güvenlik ihlalinin nerede meydana geldiğini belirlemek ve ardından bunu ele alma adımlarını gözden geçirmektir. Ve acil bir saldırıyla mücadele edildiğinde, bunun tekrar olmasını önlemek için kaynakları devreye sokmak akıllıca bir hareket tarzıdır. Şirketinizin başına gelebilecek SAP ihlallerinin türleriyle başlayalım.
En Yaygın Saldırı Vektörleri
İhlali, bir sistemin güvenlik açıklarından herhangi bir şekilde yararlanılması ve bunun sonucunda o sisteme ve verilerine yetkisiz erişim sağlanması olarak tanımlıyoruz. Başarılı bir şekilde saldırıya uğrayan bir şirkete verilen en yaygın (ve oldukça büyük) zarar, mali hasar (para cezaları, diğer masrafların yanı sıra ihlali giderme maliyeti şeklinde) ve şirketin itibarının zedelenmesidir. Müşterilerin, işlerinin veya gizli verilerinin gerektiği gibi korunduğunu hissetmediklerinde sitede kalma olasılıkları daha düşüktür.
Bir ihlal meydana geldiğinde, büyük olasılıkla aşağıdakilerden birine bağlıdır:
Koddaki güvenlik açıkları. Tüm uygulamalar güvenlik açıklarına tabidir ve özel SAP uygulamalarının saldırganların genel sisteme erişmesi için bir pencere sağlaması mümkündür.
Uygulanmayan güvenlik yamaları. SAP uygulamalarına yönelik yamalar, bir ihlal girişiminde yararlanılabilecek bilinen kusurları hedeflediklerinden son derece önemlidir. Bu yamaları uygulamayı geciktiren şirketler kendilerini açıkta bırakıyor.
Sistem yanlış yapılandırmaları. Bir SAP uygulamasındaki ayarlar yanlış yapılandırıldığında veya kullanılmayan işlevler etkin tutulduğunda, saldırganlar bu hatadan yararlanarak yetkisiz erişim elde edebilir. Bunu en çok uygulamalar varsayılan ayarlarda bırakıldığında veya birileri girip yapmaması gereken değişiklikler yaptığında görürsünüz.
İçerideki işler. Bazen, bir çalışan gibi en azından belirli düzeyde erişime sahip biri, saldırganların sisteme giriş yapmasının yolunu açabilir. Çoğunlukla çalışanın hesabıdır ancak ihlale neden olan çalışanın kendisi değildir. Çalışan hesabı, kimlik avı veya sosyal mühendislik taktikleri yoluyla kötü aktörler tarafından ele geçirilebilir; MGM Grand/Caesar’ın ihlali bu tür saldırılara mükemmel bir örnek teşkil etmektedir.
Bir Saldırıya Nasıl Cevap Verilir?
Tehdidin nereden geldiğini ve hangi güvenlik açığından yararlanıldığını belirledikten sonra kararlı eyleme geçme zamanı gelmiştir. Hızlı ama aynı zamanda doğru şekilde tepki vermek, şirketinizin güvenlik duruşunu yeniden oluşturmanıza yardımcı olacaktır. Çoğu ihlal için aşağıdaki adımlar durumu ele almanın en etkili yolu olacaktır:
- Güvenliği ihlal edilmiş tüm kullanıcı hesaplarını kilitleyin ve saldırıya karışan ortaklar veya müşteriler gibi üçüncü tarafların ağa ve sisteme erişimini kesin. Böyle bir taktiksel yaklaşım işe yaramazsa, siz sorunu çözerken yetkisiz kullanıcıların içeri girmeye devam edememesi için tüm SAP sistemini izole etmeniz, tamamen karantinaya almanız veya internete erişimini kesmeniz gerekebilir.
- Tehdidin hasarını değerlendirmek ve bununla başa çıkmak için bir plan yapmak için yöneticilerden, en iyi teknoloji liderlerinizden, SAP yöneticilerinizden ve mevcut diğer uzmanlardan oluşan bir paydaş ekibini bir araya getirin.
- Güvenlikle ilgili tüm SAP günlüklerini sakladığınızdan ve bunları adli analize tabi tuttuğunuzdan emin olun. Güvenlik denetimi günlüğü, JAVA denetim günlüğü ve HANA denetim günlüğü gibi bu günlüklere saldırının zaman dilimi içinde bakmak yararlı olabilir.
- Bu günlükleri, istismar edilen güvenlik açığının ayrıntılarını değerlendirmek ve önemli zaman dilimlerindeki kritik olayları ve etkinlik modellerini belirlemek için kullanın.
- Güvenlik açıklarını desteklemek için gereken düzeltmeleri ve yamaları yükleyin ve saldırıyı durdurmak ve söz konusu güvenlik açığından yeniden yararlanılmasını önlemek için uygun güvenlik yapılandırmalarını benimseyin.
- Ancak o zaman her seferinde bir uygulama olmak üzere normal SAP işlemlerine dönmelisiniz. İşlemlerin artık güvenli olduğundan emin olmak için bu dönüşün ardından SAP güvenlik günlüklerinizi izleyin.
Yukarıdakilerin tümü gerçekleşirken, etkilenen veya ilgili taraflarla iletişim konusunda tüm yasal gerekliliklere uyduğunuzdan emin olun. Özellikle şirketinizin ihlal sırasında ve sonrasındaki eylemlerine ilişkin yasal bir soruşturma varsa, şeffaflık ve etkilenen tarafların uygun önlemleri alabilmeleri için zamanında bilgilendirilmesi sizin lehinize olacaktır.
Gelecekteki Eylemler
Acil tehdit sona erdiğinde, çoğu şirket önleme moduna geçmeli; bunu böyle bir ihlalin bir daha yaşanmaması için yapmalı. Belki bu düzeltmeler ve yamalar diğer SAP uygulamalarına genişletilebilir. NIST ve diğer yaygın SAP güvenlik çerçevelerinin takip edilmesi önerilir.
Daha fazla SAP süreci iyileştirmesi, önleyici tedbirlerin alınmasına veya olası bir saldırıya ilişkin erken uyarıların sağlanmasına yardımcı olabilir. Bazı özellikler SAP sistemlerindeki anormallikleri tespit edebilir veya sistemi anında korumak için değişiklikler yapabilen otomasyon yeteneklerini içerebilir. Kimlik bilgilerinin tehlikeye girebileceği durumlarda (örneğin alışılmadık bir coğrafi konumdan oturum açmak için kullanılmış olmaları veya başka bir yerde bir saldırı nedeniyle açığa çıkmaları gibi) kullanıcıları uyarma özelliğini bile ayarlayabilirsiniz. Bu gibi durumlarda SAP güvenlik ekibiyle hemen iletişime geçmek, yetkili hesapların kötüye kullanılmasını önlemede büyük fark yaratabilir.
asla iyi SAP ihlali yaşamanın zamanı geldi ancak bu sorunu hızlı ve etkili bir şekilde ele alma planı olan şirketler, hem kısa hem de uzun vadede, olmayanlara göre daha iyi durumda olacak. SAP’nin sistemleri birçok şirket için kritik öneme sahiptir; dolayısıyla bu uygulamalar için mümkün olan en güçlü güvenlik duruşunu sağlamak, kuruluşların öncelik vermesi gereken aynı derecede kritik bir görevdir.
Christoph Nagy’nin SAP sektöründe 20 yıllık çalışma deneyimi var. Bu bilgi birikimini kurucu üye ve CEO olarak kullandı. GüvenlikKöprüsü– dünyanın önde gelen markalarının çoğuna hizmet veren ve şu anda ABD’de faaliyet gösteren küresel bir SAP güvenlik sağlayıcısı. Onun çabaları sayesinde SAP için SecurityBridge Platformu, SAP güvenlik ayarlarının otomatik analizi ve siber saldırıların tespiti için stratejik bir güvenlik çözümü olarak ün kazandı. gerçek zamanlı saldırılar. Nagy, SecurityBridge’den önce becerilerini Adidas ve Audi’de SAP teknoloji danışmanı olarak uyguladı.
Reklam