SAP-1.jpg

Empresas geralmente não seguem as melhores práticas de segurança ao implantar e gerenciar sistemas SAP complexos. Guia visa mudar isso

A Cloud Security Alliance (CSA), organização que desenvolve e promove as melhores práticas de segurança para computação em nuvem, lançou um guia, em duas partes, para implementação de aplicativos de ERP na nuvem que lista 20 controles de segurança críticos. A segunda parte foi lançada este mês com foco e orientação nas implantações SAP por ser um dos sistemas de gestão integrada mais comuns.

“O lançamento do documento chega em um momento crucial, já que com a pandemia, as organizações começaram a agilizar os projetos de transformação digital e a migração para nuvem, para permitir que mais usuários e funcionários operem de locais remotos por meio de uma experiência digital”, disse a CSA em uma postagem em seu blog oficial. “Além disso, com o aumento das ameaças e dos riscos que afetam os aplicativos ERP, este documento cobre os controles que podem preparar a organização para o cenário crescente de ameaças aos aplicativos ERP. Esperamos que este conjunto de diretrizes sirva como um trampolim para administradores SAP em sua jornada para implementar e proteger suas soluções de ERP.”

Vulnerabilidades e desafios do SAP

Os pesquisadores de segurança têm encontrado vulnerabilidades sérias nos componentes principais do SAP há anos e essas falhas normalmente afetam todos os aplicativos empresariais que dependem desses componentes para funcionar. Embora encontrar vulnerabilidades em uma pilha (estrutura de dados) de software tão grande não seja incomum, corrigir os problemas em tempo hábil tem sido um desafio para os clientes.

No ano passado, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos emitiu um alerta depois que várias explorações fáceis de usar, chamadas de 10KBLAZE, foram lançadas no GitHub. As explorações visavam configurações inseguras em componentes SAP, alguns dos quais eram conhecidos há mais de uma década, mas continuavam a persistir nas implantações porque consertá-los poderia causar incompatibilidades com personalizações.

Na época, a empresa de segurança de ERP Onapsis, que realiza avaliações de segurança para grandes organizações, estimou que os problemas de 10KBLAZE afetaram nove em cada dez sistemas SAP implantados por mais de 50 mil usuários em todo o mundo — cerca de 900 milhões de sistemas no total. A empresa também alertou que muitas vezes encontra esses problemas de configuração, mesmo em implementações SAP em nuvem, que não têm a carga de complexidade de implantações on premises. Isso sugere que as organizações não estão seguindo as melhores práticas mesmo ao implantar novos sistemas, algo que a CSA espera mudar com seus 20 controles de segurança críticos e orientação de implementação.

Uma vulnerabilidade crítica no SAP NetWeaver Application Server Java, que capacita a maioria dos aplicativos empresariais SAP, veio à tona em julho. Chamado de RECON (código explorável remotamente no NetWeaver), a falha tinha uma pontuação de 10.0 no CVSS (Common Vulnerability Scoring System, ou sistema de pontuação comum de vulnerabilidades) e podia ser explorada por invasores por HTTP sem autenticação para comprometer totalmente os sistemas. Os pesquisadores estimam que 40 mil clientes SAP em todo o mundo podem ser afetados, com mais de 2.500 sistemas SAP vulneráveis ​​sendo expostos diretamente à internet.

Controles de segurança da CSA

Os controles críticos de segurança da CSA se concentram em aplicativos SAP NetWeaver e baseados em ABAP e são divididos em várias categorias de implementação: aplicativos, integrações, dados, usuários e processos de negócios. Para cada controle, o CSA fornece uma descrição do controle, as ameaças que o controle deve mitigar e uma lista de verificação das etapas para implementar esse controle. Algumas etapas da lista de verificação contêm mais informações técnicas do que outras, dependendo do tipo de controle que abordam. Por exemplo, as etapas de conformidade de negócios são descritas de forma mais geral, enquanto as etapas básicas de configuração segura incluem ações técnicas específicas do SAP. Veja a lista completa de controles a seguir:

APP01 – Paisagem Segura

Paisagem segura se refere à separação de sistemas de baixo risco, como sistemas de desenvolvimento ou teste, dos sistemas de produção, colocando-os em cenários diferentes com controles de acesso diferentes para que, se um invasor obtiver acesso a um sistema de desenvolvimento, não possa girar para um sistema de produção.

APP02 – Configurações básicas seguras

O controle Baseline Secure Configurations inclui etapas para fortalecer a configuração de componentes críticos, como o SAP Application Server, a interface SAP HTTP, o SAP Gateway, SAP Message Server e o SAP Management Console. Eles são o núcleo de qualquer ambiente SAP e configurações inseguras podem permitir que invasores contornem outros controles baseados em usuários ou funções.

APP03 – Vulnerabilidades de segurança

O controle “Vulnerabilidades de segurança” cobre detalhes sobre como o SAP emite patches de segurança e recomendações sobre sua revisão e aplicação.

INT01 – Integrações seguras e API

As integrações seguras e o controle de APIs abordam questões de segurança decorrentes da ampla integração de aplicativos ERP com aplicativos externos e fontes de dados e incluem recomendações como autenticação mútua entre aplicativos usando certificados de cliente, usando segmentos de rede DMZ separados, passando solicitações por meio de um firewall ou proxy de aplicativo da web e protegendo dados em trânsito usando criptografias e protocolos criptográficos fortes.

DAT01 – Monitoramento Contínuo

O Monitoramento Contínuo envolve habilitar os recursos de registro de aplicativos SAP e enviá-los a um servidor centralizado para revisão posterior usando uma ferramenta SIEM (Security Information and Event Management), bem como colocar um processo de resposta a incidentes para quando os incidentes forem descobertos. Alguns dos logs comuns em aplicativos SAP são o log de auditoria de segurança (por meio da transação SM19), o log de gateway (por meio da transação SMGW), o log de alteração de tabela (habilitando o parâmetro rec/cliente e a transação SE13), o log de acesso HTTP (SMICM), o registro do servidor de mensagens, documentos de alteração e o registro de acesso de leitura.

DAT02 – Separação de Dados

O controle de separação de dados cobre a separação de dados entre os diferentes cenários de ERP (desenvolvimento, teste, produção, etc.), bem como entre locatários em ambientes de nuvem para que nenhum usuário tenha acesso a locatários de produção e não produção.

DAT03 – Criptografia de Dados

O controle de criptografia de dados cobre recomendações para proteger os dados em repouso em servidores, habilitando a criptografia de disco completo no nível do sistema operacional; criptografar dados no banco de dados SAP HANA; definição de políticas de governança de dados; ter processos em vigor para manter, emitir, revogar e controlar o acesso a chaves de criptografia de dados e certificados; proteger dados em trânsito habilitando o protocolo SNC para aplicativos SAP GUI e habilitando a comunicação segura no SAP Web Dispatcher usando protocolos fortes e criptografias.

BUS01 – Inventário de Ativos, Dados e Processos de Negócios; BUS02 Controles de processos de negócios; e BUS03 – Conformidade Contínua

Os controles nas categorias de processos de negócios (BU) incluem a implementação de um inventário de aplicativos, dados e processos para ter um entendimento claro e fonte única de verdade sobre quais dados residem em cada aplicativo e quais são os ativos críticos ou as joias da coroa da organização.

Outro aspecto importante é colocar controles em vigor para garantir que os privilégios existentes, especialmente os elevados, não possam ser usados ​​para executar atividades fraudulentas quando processos de negócios críticos são executados em aplicativos SAP. Finalmente, as organizações devem identificar os padrões regulatórios que impactam os dados processados ​​pelos aplicativos SAP e desenvolver os controles necessários para garantir a conformidade com esses padrões. Isso inclui o desenvolvimento de procedimentos de teste automatizados para esses controles e a implementação de mecanismos de alerta.

USR01 – Autenticação Segura

Esse controle cobre o uso de protocolos de logon único, a aplicação de políticas de senha fortes e o uso de fatores adicionais durante a autenticação. O protocolo de comunicação usado para autenticação também deve ser criptografado e seguro contra ataques man-in-the-middle e replay.

USR05 – Segregação de funções

A segregação de funções é um conceito diferente dos controles de acesso baseados em funções. Visa garantir que nenhum processo seja controlado por um único indivíduo do início ao fim ou que tarefas incompatíveis, como aprovações de transações, contabilidade e reconciliação, não sejam realizadas por uma única pessoa. Para implementar este princípio em um ambiente SAP, as organizações podem usar métodos baseados em funções ou tarefas ao criar perfis de usuário com base em sua hierarquia organizacional e devem ter processos em vigor para avaliar os riscos de quaisquer conflitos potenciais de SOD e resolvê-los fazendo modificações às funções ou por controles adicionais, como revisões e aprovações.

USR06 – Provisionamento/Desprovisionamento Seguro de Usuário

O provisionamento e o desprovisionamento de usuários devem ser feitos de maneira uniforme em todos os sistemas e cenários SAP, usando um sistema de gerenciamento de identidade. Cada criação de usuário, técnica ou funcional, deve ter um motivo comercial válido e as organizações devem garantir que não haja contas inativas ou não gerenciadas em sistemas que possam ser mal utilizadas por invasores em potencial.

USR07 – Segurança de contas ERP

A segurança das contas de ERP deve ser reforçada por meio do uso de autenticação multifatorial, exigindo senhas longas, analisando o comportamento do usuário para detectar locais e horários de login incomuns, implementando logon único, limitando o acesso do usuário de certas redes e garantindo que os tokens de sessão sejam criptografados , aleatório e expira na hora certa. As atividades e transações do usuário também devem ser registradas o tempo todo.

APP04 – Comunicações seguras, APP05 – Controles de gerenciamento de mudanças e APP06 – Extensões seguras

Este conjunto de controles de aplicativos de ERP em nuvem é projetado para proteger a comunicação com o sistema SAP, evitar mudanças não gerenciadas e evitar customização insegura por meio do uso de extensões.

“Cada implantação de ERP é única para cada organização”, diz o Grupo de Trabalho de ERP da CSA, que desenvolveu as diretrizes. “Na maioria dos casos, as organizações passam meses, senão anos, customizando suas implementações SAP ou Oracle e gastam uma quantia significativa com terceiros para concluir as implementações. Isso torna as medidas de segurança padrão mais difíceis de implementar devido às diferenças de cada implementação. Com a complexidade dessas grandes implementações, combinada com a criticidade dos dados e processos alojados nesses aplicativos, é imperativo que as melhores práticas do setor sejam estabelecidas para fornecer diretrizes de segurança às empresas que estão migrando para a nuvem, a fim de proteger a infraestrutura crítica da organização.”

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/csa-lanca-guia-para-controles-de-seguranca-em-erp-sap-na-nuvem/)