SAP安全成熟度:速成班

Ivan Mans
Author: Ivan Mans
Date Published: 9 May 2024

The Systems, Applications, SAP平台是一套软件应用程序,被99家财富100强公司和全球近2.7亿基于云的用户使用.1 组织通常在SAP供应商关系管理(SRM)和SAP人力资本管理(HCM)环境的同时运行他们的SAP澳门赌场官方下载资源规划(ERP)系统. 这些集成的解决方案通过集中的数据存储来改进决策制定, analytics, 和报告系统,赋予澳门赌场官方下载新的见解,以更好的业务流程.

Oftentimes, SAP平台变得如此庞大,以至于组织失去了对其复杂性的跟踪,因为传播产生了更多的攻击向量,为坏人打开了大门. 不安全的网络蔓延给IT专业人员识别漏洞带来了额外的压力. 网络漏洞识别是加强SAP平台的一小部分, 大多数进入这个领域的人发现这是一个持续的过程, not a destination.

建立SAP安全性的每一次旅程都应该从IT人员通过引入所有涉众安全性来识别控制弱点开始, audit, 合规团队也加入进来. 这个过程常常使澳门赌场官方下载认识到,他们业务的许多领域是没有文件记录和没有组织的. 这样的实现可能会启动一系列的抽查,并提高对第一个SAP安全责任开始实现的位置的认识. 随着SAP成熟度之旅进入将流程和策略放置到位以及定义和实现各种标准的阶段,清楚地定义这些新的职责是至关重要的.

After defining responsibilities, 组织实现了一种主动状态,在这种状态下,活动是自动化的,实现是完全监控的. With these levels achieved, 他们可以进入安全信息事件管理(SIEM)集成阶段, 其中扩展的安全控制, risk management integration, AI support, 并不断改进. However, 如果不首先建立一个定义良好的SAP基线,SAP安全之旅就不可能成功.

Defining an SAP Baseline

可以将SAP安全基线视为最佳将来状态的蓝图,它将有助于实现安全的操作和配置. 蓝图就像一个倒金字塔,其中宽阔的底部是顶层, 表示外部和内部需求以及第三方建议的组合—对于提供有价值的见解至关重要.

供应商推荐是关键. 它们基于对组织的SAP环境的丰富经验产生专家见解. Yet, 虽然这些外部指导方针是无价的, 基线的核心往往反映了澳门赌场官方下载的文化, inherent values, 以及应对挑战的独特方法.

SAP安全策略是倒金字塔的核心, 哪些是形成供应商建议和澳门赌场官方下载文化的指导原则(例如.g.(战略、人员、流程、技术). 人的因素不可低估. 员工和供应商对有效的SAP安全模型的态度可能是一种资产,也可能是一种障碍. 有进取心和责任心的个人简化了安全控制的实施, 而冷漠的人往往会使任务变得艰巨.

最后,位于倒金字塔顶端的是概念层. SAP安全概念可以分解为访问控制、数据和应用程序安全. 这些概念在构建SAP安全基线中起着关键作用,并且是所有其他考虑的基础. 需要注意的是,SAP Operations Map是帮助建立基线的有价值的工具. 该工具分为5层,分成16块.2 当与倒金字塔级别结合使用时,它有助于指导用户开发一个整体的SAP安全性基线.

Audit Observations

倒金字塔基线有助于指导组织使用逻辑流程来组合安全SAP操作所需的信息. However, 这种结构化的安全信息在帮助蒸汽线平台审计方面也起着另一个重要作用. 记住,审计师不是敌人. 它们是有价值的协作资源. 组织必须记录与过程相关的每一个动作, configurations, changes, 或者访问日志为审计做准备. 该文档为审计员提供了清晰的信息,并可作为安全漏洞或审计等事件的关键参考点.

Auditors are not the enemy. 它们是有价值的协作资源.

组织必须记录与过程相关的每一个动作, configurations, changes, 或者访问日志为审计做准备. 该文档为审计员提供了清晰的信息,并可作为安全漏洞或审计等事件的关键参考点.

当审核员审查SAP系统时,通常他们的十大观察结果是:

  1. Insecure RFC远程函数调用(RFC)目的地包含存储的凭据. RFC用户具有特权授权(例如.g.(SAP_ALL),可以用于SAP环境中的横向移动.
  2. Patch management—Longstanding, widely known, 不考虑高严重性SAP安全注释, 不进行手动更正,也不实施补丁策略.
  3. Critical authorizations-关键配置文件分配给对话框和系统用户. 规则手册中缺少必要的访问规则,自定义代码中不包括授权检查.
  4. Change management-在生产或测试阶段传输关键对象和表并进行直接更改. 确定生产和非生产之间的程序差异.
  5. User IDs安全关键活动不能追溯到指定用户,标准用户/授权被复制到自定义用户(e).g., xxxWatch, ZDDIC, ZSAPALL).
  6. Password—Old password algorithms are used, 对密码哈希的访问不受保护, 安全策略被重写.
  7. Transformation-没有嵌入安全性,也没有更新安全性基线(e).g.,具有S/4HANA和BTP需求).
  8. Gateway To HeavenSec_info和Reg_info文件中没有设置限制,防止未授权的外部程序启动和外部连接.
  9. Logging关键活动没有记录,日志文件不完整,审计日志过滤到位.
  10. Governance-目标运营模式不存在, the baseline must be adhered to, 而正确的管理观点是决策所必需的.

Conclusion

保护任何SAP环境都需要在每个阶段进行细致的关注和专业知识. 许多澳门赌场官方下载必须明白他们存在安全漏洞, 特别是在文档和组织方面,忽略这些问题只会使问题恶化. 好消息是,存在定义良好的模板来帮助组织建立SAP安全流程,从而不可避免地取得成功. 在所有部门之间建立清晰的沟通是成功的基础.

In addition, 认识和解决潜在的脆弱性至关重要, 如审计意见所示. 来自审计的详细见解强调了持续警惕和适应的必要性. 组织可以通过注意这些观察和整合经验教训来加强他们的防御, 确保他们的SAP环境是兼容的,并且能够抵御不断变化的威胁.

Ivan Mans

从1997年开始在SAP领域工作的经验丰富的SAP技术顾问. In 2012, he cofounded SecurityBridge. 他目前的职位是首席技术官(CTO)。, 他是一个积极的司机,激励着人们,推动着技术的发展, 为安全桥平台的不断创新做出贡献. In recent years, Mans经常在SAP活动上发表演讲,宣传SAP的安全性.

1 SAP, “The History of SAP
2 SecurityBridge, “SAP Secure Operations Map,” 22 November 2021

Additional resources