Son derece gelişmiş ve son derece tehlikeli siber saldırılar, sıklığı endişe verici bir artışla SAP (başlangıçta “Sistem Analiz Programı” Geliştirme olarak adlandırılan şirketten) yazılım tedarik zincirlerini hedef alıyor. Özellikle yazılım uygulama aşamasında SAP’nin altyapısındaki açıklardan yararlanılarak yapılan bu saldırılar, dünya çapındaki işletmelerin kritik operasyonlarını tehlikeye atıyor. Bu makale, SAP yöneticilerinin ve BT güvenlik personelinin bu saldırıları önlemek için alabileceği yapıları, etkileri ve önlemleri inceleyecektir.
Güvenlik Açıkları Nerede Yatıyor?
SAP sistemleri dahil hiçbir sistem tedarik zinciri saldırılarına karşı bağışık değildir. Savunmanın üçüncü taraf satıcılara ve dağıtım sürecine odaklanması gerekiyor. Zayıf noktalar, kod değişikliklerini uygulayan SAP aktarım istekleridir.
SAP programlarında az bilinen bir özellik, taşıma isteklerinin değişikliklere izin vermesi ve kötü niyetli aktörlerin bu izni saldırı noktaları olarak görmeleridir. Aktarım istekleri, kaynak kodu dağıtımına yönelik araçlardır ve değişikliklere izin verdikleri için saldırılara karşı savunmasızdırlar. Uygun yetkilendirmeyle, üçüncü taraf kodlayıcılar ve hileli çalışanlar, savunma engellerini aşan ve üretim sistemine aktarıldığında kötü amaçlı komut dosyalarını etkinleştiren taşıma isteklerine yükler ekleyebilir.
Saldırı Vektörleri
Kötü amaçlı kod meşru SAP kodunda gizlenebilir. Saldırganlar kodlarını üçüncü taraf yazılım paketleri aracılığıyla enjekte edebilir. Üçüncü taraf satıcıların bunları imzalamasına izin verilmediğinden dijital imzalar paketleri güvence altına almaz. İronik bir şekilde imza süreci, doğrulama sürecinde bir güvenlik açığı penceresi bırakıyor. Bu zayıflık, bilgisayar korsanlarının güvenilen yazılım paketlerini zarar verici yükler sağlamak için kullanabileceği yerdir.
Değişim yönetimi sürecinde başka bir saldırı vektörü ortaya çıkabilir. Bu süreç, bir aktarım isteğinin yayın durumunu “Yayınlandı” durumundan “Değiştirilebilir” durumuna tersine çevirecek şekilde değiştirilebilir, böylece dağıtım sırasında çalıştırılan kötü amaçlı nesnelerin enjeksiyonuna izin verilir. Saldırganlar bir kuruluşun dahili süreçlerini ve protokollerini anlıyorsa, bu manipülasyonun tespit edilmesi ve hafifletilmesi zor olabilir.
Ayrıca SAP sistemlerine yönelik tehditler içeriden ve dışarıdan gelebilir; Uygun erişime sahip çalışanlar da kötü adamlar olabilir. Resmi izni olanlar ihracat sonrasında taşıma taleplerini değiştirebilirler. İstekleri değiştirmeye yönelik bu yetkili yetenek, dağıtım sürecini korumak için katı güvenlik protokolleri gerektirir.
Koruma Adımları
SAP tedarik zincirlerini güvence altına almak için çeşitli ve gelişmiş bir yaklaşıma ihtiyaç vardır. Rutin yama yönetimi bilinen güvenlik açıklarını giderebilir. SAP, güncellemelerini her ayın ikinci Salı günü duyuruyor ve kuruluşların bu tarihe dikkat etmesi gerekiyor. Örneğin, SAP’nin CVE-2021-38178 güvenlik açığını düzelten güvenlik tavsiyesi SNOTE 3097887, dosya sistemlerini korumak ve manipülasyonu önlemek açısından kritik öneme sahiptir.
- Gerçek zamanlı izleme, SAP ortamındaki anormallikler için bir başka önemli algılama modudur. Temel yapılandırmalardan herhangi bir sapma, hızlı savunma tepkisi için gerçek zamanlı otomatik uyarıları tetikleyecek şekilde ayarlanabilir. Altyapıyı ve uygulamaları desteklemek için kapsamlı yama uygulama ve güvenlik açığı yönetimi stratejilerinin uygulanması da çok önemlidir. Bunu tamamlamak için rutin güvenlik denetimleri ve gelişmiş tehdit tespit sistemlerinin uygulanması güvenliğe önemli ölçüde yardımcı olabilir.
- Uygulama ve dağıtım aşamalarında kod güvenliği sağlanmalıdır. Otomatik kod tarayıcılar ve manuel inceleme süreçleri, güvenlik açıklarının üretim ortamlarına girmeden önce tespit edilmesi ve azaltılması açısından önemli önlemler olabilir. Ekstra kontroller ve doğrulamalar içeren yoğunlaştırılmış değişiklik yönetimi kontrolleri, yetkisiz değişiklikleri önleyebilir ve yalnızca incelenen değişikliklerin uygulanmasını sağlayabilir.
- Satıcının güvenlik uygulamalarını kontrol ederek SAP tedarik zincirini koruyun. Üçüncü taraf satıcılardan kuruluşunuzla aynı düzeyde güvenlik talep ettiğinizden ve dağıtımdan önce üçüncü taraf yazılım paketlerinin bütünlüğünü doğruladığınızdan emin olun.
- İlk kodlamadan son dağıtıma kadar DevSecOps için bir güvenlik temeli oluşturun. Bu temel, güvenliğin her geliştirme yaşam döngüsü aşamasına dahil edilmesini sağlayacaktır. Kuruluşlar bu yaklaşımı benimseyerek riskleri geliştirme sürecinin erken aşamalarında tespit edip azaltabilir, böylece güvenlik açıklarının üretim ortamına yayılması olasılığını azaltabilir.
- Üretim ithalatından önce kurcalamayı tespit etmek için taşıma kayıtlarına ilişkin rutin denetimler ve incelemeler uygulayın. Bu proaktif adım, potansiyel tehditlerin sisteme çarpmadan önce ele alınmasına yardımcı olacaktır. Düzenli güvenlik eğitimleri, çalışanları mevcut tehditler konusunda eğitecek ve onlara SAP sistemlerini korumaya yönelik en iyi uygulamaları tanıtacaktır.
SonuçlandıAçık
SAP yazılım tedarik zinciri, küresel kurumsal operasyonlardaki kritik rolü nedeniyle siber saldırıların ana hedefidir. Güvenlik açıklarının anlaşılması ve sağlam güvenlik önlemlerinin alınması durumunda kuruluşlar kendilerini tedarik zinciri saldırılarından koruyabilirler. Düzenli yama yönetimi, gerçek zamanlı izleme, güçlendirilmiş altyapı, güvenli kod uygulaması, gelişmiş değişiklik yönetimi, satıcı güvenlik uygulamaları ve DevSecOps’un tümü SAP ortamlarını korumaya yönelik mükemmel adımlardır. Dikkatli kalmak ve proaktif bir duruş sergilemek, SAP sistemlerinin bütünlüğünü ve güvenliğini sağlamada uzun bir yol kat edecek ve böylece operasyonun güvenilirliğine ve verimliliğine olanak tanıyacaktır.
Yazar Hakkında
Christoph Nagy, dünyanın önde gelen markalarının çoğuna hizmet veren ve şu anda ABD’de faaliyet gösteren küresel bir SAP güvenlik sağlayıcısı olan SecurityBridge’in kurucu üyesi ve CEO’sudur. Christoph’un SAP endüstrisinde 20 yıllık bir çalışma deneyimi vardır. Onun çabaları sayesinde SAP için SecurityBridge Platformu, SAP güvenlik ayarlarının otomatik analizi ve siber saldırıların gerçek zamanlı tespiti için stratejik bir güvenlik çözümü olarak tanındı. SecurityBridge’den önce Christph, Adidas ve Audi’de SAP teknolojisi danışmanı olarak becerilerini uyguladı. Kendisine şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve https://securitybridge.com/ adresinde