以零信任提高 SAP 安全性

您的组织如何改善其系统应用程序和产品 (SAP) 风险状况？通过切实和具体的措施与零信任的关键原则保持一致是一种方法。

首先，让我们定义零信任的原则。我们都已经看到了零信任的类型和广度。哪些与 SAP 最相关？

零信任的三个原则

零信任的总体目标是减少攻击面。它假设信任是一种风险形式，不能完全从企业中移除。使用零信任框架提供了一个基线，组织可以在其中识别和使用正确的访问控制、风险管理和身份验证协议来授权业务。

最小特权原则

任何熟悉 SAP 角色和授权的人都知道 SAP 安全结构很复杂。仅将访问权限限制为所需的授权业务和 IT 活动可能会让人望而生畏，尤其是在您手动管理的情况下。使用最低权限的最佳实践侧重于适当的访问控制。大多数组织都有某种治理、风险和合规工具来支持 SAP 应用程序的访问风险分析，但不是全部。

在尝试解决访问风险时，组织必须拥有一份详尽的职责分离 (SoD) 和敏感访问风险图。没有它，你会得到假阴性。访问风险报告仅与用于分析的风险库一样强大。如果这不包括自定义事务代码和跨应用程序注意事项等项目，则组织将面临未知数量的访问风险，这些风险可能导致严重的 SoD 冲突。业务流程中涉及的 SAP Fiori 和非基于 ABAP 的应用程序可能使其更加复杂。

以下是基本访问风险的示例。在第一个示例中，风险属于单个用户身份 Thomas Watson，并且该用户仅在单个系统中进行交易。

在第二个示例中，该组织同时部署了 SAP Fiori 和 SAP Ariba，这使得相同访问风险的映射和报告变得复杂。现在，Thomas Watson 可以在不同的系统中使用不同的用户身份进行交易。这种访问会导致 SoD 风险，从而导致欺诈活动和合规问题。

即使是未经训练的眼睛也可以看到识别、报告和管理访问风险的复杂性已大大增加。

解决方案

组织应审查访问风险分析和特权访问管理流程和技术。

对于访问风险分析，要问的关键问题是：

• 规则集是否准确、最新并包含所有与 SoD 相关的应用程序？规则集是否代表了详尽的风险、业务功能和基本权利？
• 流程和工具是否支持跨系统分析？这是否说明了不一致的用户映射和自定义操作？

对于特权访问管理，也被 SAP 称为消防、紧急和超级用户访问，要问的关键问题是：

• 您是否正确地将消防访问权限用于需要更多关注的真正提升的业务或 IT 操作？或者您的团队是否将其用作授予最终用户访问权限的解决方法？
• 流程和工具是否可以在整个 SAP 环境中进行救火？您如何管理对 SAP Ariba、SAP Concur、SAP Integrated Business Planning 和 HANA 数据库等 SAP 应用程序的特权访问？

假设违约

SAP 的漏洞管理和威胁检测都取得了重大进展。但是，这些应用程序由 IT 的不同部分管理，并未集成到企业安全运营中心或 SIEM 解决方案中。原因有两个：

1. SAP 程序通常与其他 IT 部门分开管理，具有单独的计划、预算和资源。
2. SAP 架构和 ABAP 编程语言的细微差别使其难以与传统的企业工具和流程保持一致。

然而，组织在保护其 SAP 资产方面取得了长足的进步。许多人将精力集中在 SAP 原生工具和 SAP Solution Manager 的洞察力上。如果配置正确，解决方案管理器是一个重要的管理和安全工具。毕竟，它提供了相关的安全数据。

其他 SAP 原生工具（例如 EarlyWatch 报告、安全优化服务和 SAP 安全基线）提供有关漏洞和错误配置的时间点洞察。安全审计和系统日志也很重要。但是，这些最常用于事件后的故障排除。为了改善整体风险状况，洞察力必须成为实时的，并为安全分析师提供检测、分类和响应的信息。

如何集成 SAP

组织需要自动化工具来帮助对其 SAP 环境进行实时威胁检测和漏洞管理。好消息是，许多企业已在其网络安全方面进行了大量投资。无论是内部的、外包的还是混合的，许多组织都拥有支持威胁管理和漏洞管理计划的人员、流程和技术。

但是，单独的团队通常管理 SAP 环境的安全性，将其置于孤岛中。将 SAP 融入其他安全操作是关键。找出您可以在哪些地方使用现有的安全投资来保护 SAP 系统。在其他情况下，您可能需要专为 SAP 构建的控件和工具。

在威胁管理中，许多组织的所有事件日志（包括 SAP）都由单个 SIEM 执行。以下是确保 SIEM 使用来自 SAP 的相关、可操作事件同时减少误报的最佳设置。在企业 SIEM 前部署以 SAP 为中心的威胁管理解决方案以协助过滤至关重要。

要问的关键问题是：

• 您的补丁管理流程是否允许有效和快速的部署？有证据表明，在 SAP Patch Tuesday 上发现的新漏洞在三天内就会被利用。
• 您是否使用数据丢失防护和 UI 屏蔽来进一步减少数据泄露的影响？SAP 本地和第三方解决方案可以帮助提高应用程序和数据库级别的数据安全性。

永远不要相信，永远验证

大多数企业仍然依赖基本的用户名和密码凭据来访问 SAP。您可能没有意识到用户名和密码存储在一个表中（USR02-SAP 登录数据）。SAP 已经开发了许多改进来使密码更难破解。然而，即使 SAP 使用 SHA-1 散列算法部署了最安全的方法，密码仍然很容易破解。

有多可破解？在玩了几个小时的开源工具和各种博客文章后，我能够在 USR02 的 PWDSALTEDHASH 字段中破解受 SHA-1 保护的 SAP 密码。

令人难以置信的部分是新手攻击者（或威胁参与者）能够以多快的速度完成相同的过程。在本例中，我创建了一个 SAP 用户 ID 并将密码设置为“Basketball1!”，密码复杂度如下：

• 字符长度 - 12
• 大写字母 – 1
• 1号
• 特殊字符 -1

在 36 秒内，我能够使用基本的字典攻击来破译密码。

解决方案

由于它与上述练习有关，您应该确保使用 PWDSALTEDHASH 而不是 BCODE 和 PASSCODE。这对于使用较旧和未打补丁的 SAP 版本且未启用 PWDSALTEDHASH（最低要求为 SAP NW 7.02 或更高版本）的 SAP 客户非常重要。此外，您应该定期验证密码复杂性是否符合公司政策和指南，例如美国国家标准与技术研究院的密码指南 ( 800-63B )。但是，最佳实践是使用单点登录 (SSO) 和多因素身份验证 (MFA)，目的是消除对用户名和密码凭据的需求。

要问的问题包括：

• SAP 系统、系统 ID 和接口之间的连接是否已配置为受信任和加密？至少，考虑在系统之间添加安全网络通信 (SNC)。
• 非法密码表 (USR40) 是否更新了常用词以省略？
• SSO 能否在整个 SAP 环境中使用？正确启用 SSO 后，可以完全删除哈希表条目，从而消除密码攻击的风险。
• 是否讨论过 SAP 环境的数据库活动监控或 UI 日志记录解决方案？DAM 和 UI 日志记录使您能够更好地控制监视、审计和验证意图。

零信任入门

这些只是为使企业零信任计划与 SAP 保持一致而需要考虑的少数计划和行动。不知道该转向哪里？使用设计思维的IBM 零信任研讨会是一种很好的方法，可以在零信任的背景下勾勒出您的 SAP 安全“原样”成熟度和期望的“未来”状态。