SecurityBridge CEO’su ve Kurucu Ortağı Christoph Nagy
Günümüz dünyasında saldırı yüzeyini bilmek, bilinmeyen-bilinmeyen denen şeyin suistimal riskini azaltmak için çok önemlidir. Sıfır gün, yama uygulanmamış ve yaygın olarak bilinmeyen güvenlik açıklarıdır. Kuruluşların, herhangi bir uygulamanın, ayrıca SAP’nin kurumsal açıdan kritik çözümlerinin, yama bulunmadığından yama uygulanamayan ciddi bir güvenlik açığı içerdiğini varsayması gerekir. Güvenlik açığının yazılım satıcısı tarafından yayınlanıp yamalandığı anı beklemek, güvenli bir bahis olmayabilir, çünkü tehdit aktörleri açık boşluğu zaten biliyor ve kullanıyor olabilir.
Güvenlik firmaları, risk iştahlarını anlamak ve kabul edilemez riskleri azaltmak için bir çözüm üretmek için ortaklar ve müşterilerle etkileşime girer. İlk sorulardan biri şudur: Saldırı yüzeyinizi biliyor musunuz?
Saldırı yüzeyi nedir?
Saldırı yüzeyi, yetkisiz bir saldırganın örneğin verileri ayıklamak veya hassas bilgileri manipüle etmek için bir sisteme veya uygulamaya erişebildiği tüm olası giriş noktalarının veya saldırı vektörlerinin toplamıdır. Saldırı yüzeyi ne kadar küçük olursa, korunması o kadar kolay olur.
SAP saldırı yüzeyi neden bu kadar önemli?
Kuruluşlar, potansiyel tehditleri olabildiğince çabuk belirlemek ve engellemek için saldırı yüzeylerini sürekli olarak izlemelidir. Ayrıca denemek zorundalar küçültmek Siber saldırıların başarılı olma riskini azaltmak için saldırı yüzey alanı. SAP bağlamında, SAP işlemi SICF aracılığıyla sağlanan İnternet İletişim Yöneticisi (ICM) veya İnternet İletişim Çerçevesi (ICF) ve ayrıca uzaktan işlev çağrısı bağlantı kurulumu, hizmetleri dışarıya aşırı maruz bırakmaya eğilimlidir.
SAP güvenliğini göz önünde bulunduran SAP müşterilerinin, maruz kalan hizmetleri (SOAP, WebService, API’ler) sürekli olarak değerlendirmesi ve envanterini çıkarması gerekir. Kullanılmayan veya belirli bir SAP iş senaryosuna hizmet etmeyen herhangi bir hizmet, saldırı yüzeyini azaltmak ve böylece istismar riskini en aza indirmek için devre dışı bırakılmalıdır.
Ayrıca, kimlik doğrulama gerektirmeyen hizmetlerde bir kapatma sekmesinin tutulması gerekir. SAP’de, SICF işleminde bulunabilen /sap/public/ ad alanında bulunurlar. /sap/public/info gibi hizmetler, tehdit aktörlerinin bir saldırının keşif aşamasında bilgi toplaması için bir numaralı temas noktasıdır.
SAP Zero-Day istismarına karşı etkili önlemler?
Hatırlatmak gerekirse, sıfır gün, henüz yaygın olarak bilinmeyen bir güvenlik açığıdır ve herhangi bir düzeltme eki yoktur. Bu nedenle yama bir seçenek değildir. Bu, düzenli ve zamanında yama uygulamalarının istismara karşı korunmak için en etkili uygulamalardan biri olmadığı anlamına gelmez, tam tersine. SAP müşterileri, her ayın ikinci Salı günü, SAP’nin yeni güvenlik yamalarını yayınladığı başka bir SAP Güvenlik Yama Günü görmeyi bekler. Bu etkinlik, yalnızca istismardan önce yamayı yükleyerek kazanabilecek olan saldırganlar ve savunucular arasındaki yarışı başlatır.
SAP, hata avcılarını ve güvenlik araştırmacılarını desteklemek için hata ödül programlarına sponsor olur. Güvenlik açıkları için standart yazılımları analiz eden çeşitli bireysel araştırmacıların yanı sıra tüm araştırma laboratuvarları vardır, ancak ortak bir çabayla bile sıfır gün ortadan kaldırılamaz.
Yama Yönetimi çözümleri, yama uygulamadan önceki çabayı ve hazırlık süresini azaltmak için özel sistem kurulumunuzla ilgili yeni bir yama yayınlandığında sizi bilgilendirebilir. Ek olarak, SAP güvenlik firması ürün ekipleri, müşterilerin henüz yama uygulanmamış güvenlik açıklarının olası istismarlarını izlemesine olanak tanıyan imza güncellemelerini anında yayınlayabilir.
Ancak, sıfır gün için herhangi bir yama bulunmadığından, dikkate almanız gereken birkaç şey daha var:
- Saldırı Vektörlerinin Envanteri
Genel olarak saldırı yüzeyinizi bilmek önemlidir ve daha fazla karşı önlem için temel oluşturur. Ayrıca kuruluşların bireysel risk durumlarını anlamalarına yardımcı olur.
- Saldırı Vektörlerini Azaltın
Daha önce bahsedilen SAP Internet Communication Framework (ICF) hizmetleri gibi kullanılmayan veya ihtiyaç duyulmayan bağlantı noktaları devre dışı bırakılır. Ayrıca, güvenilmeyen ağlar veya halka açık internet ile tüm temas noktalarını yeterince sağlamlaştırdığınızdan emin olun.
- Yazılım Bileşenleri
Belirli bir amaca hizmet etmeyen yazılım bileşenleri kaldırılmalı veya en azından devre dışı bırakılmalıdır. SAP müşterilerinin çoğu, artık ihtiyaç duyulmayan ancak yakın zamana kadar standart kurulumla gönderilen istemci 066’nın bulunduğu en az bir SAP NetWeaver sistemini çalıştırıyor.
- Değişim Gözetimi
Yeni bir hizmet etkinleştirildiğinde veya tanıtıldığında, yapılması gereken güvenlik hususları vardır. Bir SAP güvenlik firması, müşterilerin saldırı yüzeyindeki herhangi bir değişikliği izlemesine yardımcı olabilir. Bu değişiklikler, genel SAP güvenlik duruşuna hemen yansıtılır.
- Tehdit tespiti
Son Log4j olayı ve aynı zamanda biraz daha eski RECON sürümü, güvenlik açıklarının fark edilmeden uzun bir süre boyunca var olabileceğini etkileyici bir şekilde kanıtladı. SAP sistem güvenliğini etkileyen kötü amaçlı eylemlerin saptanması ve izlenmesi, ciddi hasara karşı korunmanın temel unsurlarıdır.
- katmanlı güvenlik
Ek güvenlik katmanları tanıtın. Kesin güçlendirme, düzeltme eki uygulama ve izlemenin yanı sıra, kişisel risk durumunuza göre izinsiz giriş önleme sistemleri ve ağ segmentasyonu eklemeyi düşünmek faydalıdır.
SAP saldırgan yüzeyi nasıl azaltılır?
Bu kolay bir iş değil ve özellikle dijital ayak izlerini genişleten ve yeni teknolojileri benimseyen SAP kuruluşları için zorlaşıyor. Azaltmak şu anlama gelir:
- SAP Internet Communication Framework (ICF) ve Internet Communication Manager (ICM) hizmetlerinin devre dışı bırakılması
- Kullanılmayan yazılım bileşenlerinin kaldırılması
- Kullanılmayan veya eski RFC Hedefinin ve hizmet uç noktalarının silinmesi. Kullanılanların yeterince sertleştirilmesi gerekir
- Gerekli olmayan güvenmenin ortadan kaldırılması (SMT1)
- Kullanılmayan SAP istemcilerinin silinmesi
- SAP’de (STRUST) SSL sertifikası işlemenin yönetimi ve takibi
- Ve daha fazlası…
Riski kabul etmekle iş departmanının yeni bir hizmet isteğini yerine getirmek arasında ince bir çizgi olabilir. Bu, özellikle yeni hizmet yalnızca ek konfor sağlıyorsa, ancak çok özel bir risk içeriyorsa doğrudur. Ve bu, üstesinden gelinmesi gereken tek zorluğu zaten açıklıyor – birçok SAP uzmanı, bir değişiklik talebini değerlendirdikleri anda eldeki fayda ve SAP güvenlik etkisi sınıflandırmasına sahip değil. Bir SAP güvenlik firması, istismar olasılığını perspektife koyan gelişmiş bir sınıflandırma sistemi ile eksik bilgi parçasını sağlayabilir.
Daha önce açıklanan senaryo, belirli bir değişiklik için geçerlidir ve temel olarak SAP’nin saldırı yüzeyinin artmamasını sağlamak için yürürlükte olması gereken güvenlik yönetişim modeline bağlanır. Geri adım atmak ve mevcut bir sistemin genel yüzeyine veya tüm bir manzaraya bakmak çok daha karmaşıktır. Bağımlılıklar ve ek güvenlik katmanlarının varlığı gibi ortama özgü diğer değerlendirmeler yapılmadan önce tipik olarak kapsamlı bir değerlendirme aşaması gerektirir. Ek güvenlik katmanları, akıllı güvenlik duvarlarında bulunan izinsiz girişi önleme sistemleri olan ağ bölümlendirmesi ile tanıtılabilir.
Çözüm
Her ayın ikinci Salı günü, SAP müşterileri yeni güvenlik yamaları görecek. Yayınlanan güvenlik güncellemelerinden bazılarının sizi kurumsal açıdan kritik SAP uygulamalarınızdaki ciddi güvenlik açıklarını yeniden yamalamaya zorlaması çok olasıdır.
Devre dışı bırakılan hizmetler etkilenirse, istismar riski genellikle azalır – bu nedenle genellikle etkilenen bir hizmetin devre dışı bırakılması, yamayı yükleyemeyenler için geçici bir çözüm olarak belirtilir.
Log4j birçok kuruluşu ve ayrıca SAP müşterilerini hazırlıksız vurdu. Bunun her an tekrar olabileceğinin farkında olun ve daha iyisi bunun olacağını varsayın ve güvenlik stratejinizi yeterince geliştirin.
yazar hakkında
Christoph Nagy, SAP endüstrisinde 20 yıllık çalışma deneyimine sahiptir. Bu bilgiyi, dünyanın önde gelen markalarının çoğuna hizmet veren ve şu anda ABD’de faaliyet gösteren küresel bir SAP güvenlik sağlayıcısı olan SecurityBridge’de kurucu üye ve CEO olarak kullandı. Onun çabaları sayesinde, SecurityBridge Platform for SAP stratejik bir güvenlik çözümü olarak ün kazandı SAP güvenlik ayarlarının otomatik analizi ve siber saldırıların gerçek zamanlı tespiti için. SecurityBridge’den önce Nagy, Adidas ve Audi’de SAP teknoloji danışmanı olarak becerilerini uyguladı. Christoph’a çevrimiçi olarak [email protected] ve https://securitybridge.com/ adreslerinden ulaşılabilir.