Bilgisayar korsanları, bir zamanlar kurumsal güvenlik duvarlarının arkasına gizlenmiş olan birçok SAP uygulamasının, sunucusunun ve veritabanının artık web’e açık hale geldiğini ve bunların saldırılar için birincil hedefler haline geldiğini hemen fark etti. SAP Fiori sistemi bu konuda tehlikeye ve saldıraya açık sistemlerin en başında gelmektedir.
Web’e yönelik bu hamlenin ortak paydalarından biri, SAP’nin kendisi, müşterileri ve iş ortaklarının iş uygulamalarında kullanmak üzere geliştirdiği tasarım dili ve kullanıcı deneyimi yaklaşımı olan SAP FIORI’dir.
SAP FIORI tasarım dilini kullanan uygulamalar arasında SAP S/4HANA ve SAP C/4HANA paketleri, SAP Analytics Cloud, SAP Data Hub ve SAP Ariba yer alıyor. SAP FIORI’nin amacı, tasarımcılara ve geliştiricilere herhangi bir platform için hızlı bir şekilde uygulama oluşturmaya yönelik bir dizi araç ve kılavuz sunmaktır.
SAP FIORI, öncelikle saldırı yüzeyini arttırdığı için işletmeleri artan güvenlik risklerine maruz bırakıyor. Daha önce yalıtılmış, şirket içi SAP sistemlerini genel internete ve mobil ağlara maruz bırakan saldırganlar, artık SAP FIORI arayüzleri biçiminde saldırabilecekleri çok daha fazla güvenlik açığı noktasına sahip oluyor.
Saldırı girişimleri kaçınılmaz olabilir ancak başarılı saldırılar kaçınılmaz değildir.
Şimdi isterseniz, SAP FIORI güvenliğinizi geliştirmenin altı yolunu sizlere anlatayım.
1. SAP Fiori Güvenlik Açıklarınızı Karşılaştırın
Bilgisayar korsanlarının SAP FIORI arayüzleri aracılığıyla SAP sistemlerinize saldırabilecekleri tüm yolların envanterini çıkarın. Hem güvenlik duvarınızın içinde hem de dışında çalışan tüm cihazları dahil edin. Tabletler ve telefonlar gibi mobil cihazlara özellikle dikkat edin.
Yapılan araştırmalar sonucunda, “SAP alanındaki siber güvenlik platform sağlayıcısı deneyimlerine dayanarak, birçok saldırının içeriden başladığı tespit edilmiştir.” İçeride olmak her zaman kötü niyetli bir çalışan anlamına gelmez. Örneğin, sosyal mühendisliğin kurbanı olan bir çalışan da olabilir. Bir çalışanın şirketin otoparkında bulduğu bir USB bellek olabilir. Sözde yardım masasından bir çağrı alan ve çalışandan oturum açma bilgilerini paylaşmasını isteyen bir çalışan da olabilir.
2. SAP Fiori Güvenlik Temellerini Doğru Şekilde Alın
SAP sistemlerini saldırılara karşı korumak için hali hazırda en iyi uygulamaları kullandığınızdan emin olun, örneğin:
- SAP uygulamalarının en son sürümlerini çalıştırmak.
- En son SAP Güvenlik Notlarının (güvenlik yamaları) yayınlanır yayınlanmaz yüklenmesi.
- Kullanıcıların şifrelerini paylaşmasına izin vermemek.
- Kullanıcıların zayıf şifre kullanmasına izin verilmemesi.
Birçok SAP müşterisiyle konuşularak yapılan araştırmada, şirketler genelde ’10 yıldır SAP’yi çalıştırıyoruz, güvenliğe hiç bakmadık’ diyorlar. Performansa bakıyoruz, iş fonksiyonuna bakıyoruz, işletmenin neye ihtiyacı varsa ona bakıyoruz ve sistemin zaman perspektifinden yüksek düzeyde kullanılabilir olması gerekiyor. Yani kesinti olmaması gerekiyor.’ Sistem güvenliği genelde ikinci plana atılıyor.
3. SAP Fiori Altyapınızı Güçlendirin
SAP altyapınızı güçlendirerek, sistem güvenliği savunmanızı geliştirebilirsiniz.
Öncelikle Güvenlik Politikaları ile başlayın ve ardından uygulamaya geçin. Bunun için, güvenliğin idari ve teknik düzeylerde nasıl korunacağını açıklayan idari politikalar, süreçler, prosedürler ve yönergeler oluşturun. Sıkı sağlamlaştırma politikaları belirleyin ve uyumluluğu izlemeye başlayın.
Özellikle ağ geçidi sunucularınızı, mesaj sunucularınızı ve ICF bileşenlerinizi güçlendirin. Atmanız gereken bazı adımlar şunlardır:
- SAP Web Dispatcher’ınızın önüne bir ağ güvenlik duvarı kurun ve ağ bağlantısını gerekli bağlantı noktalarına ve protokoller ile sınırlayın.
- Bilgisayar korsanları, dışarıya açık olmayan SAP sunucularına sızmak için SAP FIORI bağlantılarına sızmayı hedefliyor. Bu saldırıları, SAP Web Dispatcher’ınızın önünde dışarıya açık olmayan sunucularınızı bu FIORI bağlayıcıyı kötüye kullanan saldırılara karşı koruyan bir Web Uygulaması güvenlik duvarı ile önleyebilirsiniz. Daha da iyisi, SAP’ye özgü WAF ile Web Dispatcher’ın işlevlerini birleştirmeyi düşünebilirsiniz.
- Güvenlik duvarındaki NetWeaver Gateway sunucusundaki HTTP bağlantı noktasına erişimini engelleyin.
- HTTP Sıkı Aktarım Güvenliğini mutlaka uygulayın.
- Kritik FIORI uygulamalarına yalnızca Sanal Özel Ağlar üzerinden erişime izin verin.
- SAP Web Dispatcher ve SAP Internet Communication Manager’da HTTP’den HTTPS URL’lerine yönlendirmeleri uygulayın.
4. Bağlantılarınıza Dikkat Edin
Amacınız saldırganlara SAP sistemlerinize mümkün olduğunca az giriş noktası vermek ve bu giriş noktalarını da güvenli hale getirmektir.
Erişim kontrollerinizi kavramakla başlayabilirsiniz. SAP sistemlerinizi kimin kullandığını, neden kullandıklarını, ne zaman kullandıklarını ve bunlara nasıl eriştiklerini öğrenin. Daha sonra aşağıdaki adımları izleyin:
- Yetkisiz kullanıcıların erişimini engellemek için Güvenlik Onaylama İşaretleme Dili (SAML), iki faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama proxy’leri dağıtın.
- Bağlantılarınızı ve verilerinizi TLS ve SNC kullanarak şifreleyin. Şifreli bağlantılar, aktarım sırasında SAP verilerinizi korur ve şifrelenmiş veriler, saldırganların eline geçse bile bilgilerinizi kullanılamaz hale getirir.
5. Kötü Aktörlerin Faaliyetlerini İzleyin
SAP FIORI Güvenliği tek seferlik bir etkinlik değildir. Bilgisayar korsanları ve siber suçlular asla dinlenmezler, bundan dolayı siz de dinlenmemelisiniz.
Şüpheli etkinliklere karşı SAP sistemlerinizi 7/24 izleyin. Bu, kullanıcılarınızın hem standart hem de ayrıcalıklı etkinliklerini içerir. Mümkün olduğunda, altyapı katmanındaki ve iş mantığı katmanındaki tehditleri tanımlamak için güvenlik verilerini bir SIEM çözümüne veya SAP Enterprise Threat Detection’a aktarın.
Güvenlik politikalarınızın ihlallerini sürekli olarak izleyin. Sapmalarla karşılaştığınızda tehditleri ortadan kaldırmak ve kullanıcı davranışını değiştirmek için hemen harekete geçin.
“Herhangi bir veri ihlalinde en önemli şey tepki süresidir. Öncelikle veri ihlalini tespit etmeniz gerekir. Günümüzde pek çok kuruluş veri ihlallerini tespit edecek konumda değil. Peki etkili bir izleme sistemi yoksa bunu nasıl bilecekler?
“Şimdi, bu bilgiyle, pek çok tarif verisinin, pek çok büyük sırrın ortalığı terk ettiğinin farkına varmanın tetikleyicisi ile birlikte, yaşamınızın bir sonraki adımı olarak gerçekte ne yapacağınız konusunda eğitimli bir karar almanız gerekiyor. cevap. Eğer vaktiniz varsa sızıntıyı durdurmalısınız.”
6. Üçüncü Taraf SAP Güvenlik Araçlarını Kullanın
Standart işletim sistemi düzeyindeki antivirüs programları, SAP siber güvenlik tehditlerini tanımaz veya ele almaz. SAP sistemlerinizi virüslere ve içerik bazlı saldırılara karşı korumak istiyorsanız başka firmaların geliştirdiği güvenlik araçlarını kullanmalısınız.
Genel kabul, “SAP sistemleri sık sık değişikliğe tabidir” diyor. “Yani bir iş gereksinimi aynı zamanda temel parametreleri değiştirmeniz, hizmetleri ve diğer işlevleri etkinleştirmeniz veya devre dışı bırakmanız gerektiği anlamına da gelebilir. Bunun güvenlik duruşunuz üzerinde etkisi vardır ve sürekli olarak değerlendirilmesi gerekir. Kritik erişim yönetimini içeren, güvenlikle ilgili yapılandırma ve güçlendirmeyi içeren zafiyet izleme ile ilgilidir. SAP müşterilerinin kullandığı teknoloji yığınında güvenlikle ilgili hangi yamaların eksik olduğunu bilmek hala büyük bir zorluk.”
Bu aynı zamanda SAP FIORI güvenliği için de geçerlidir. Saldırılara karşı korunmak için SAP uygulamalarına giren ve çıkan verileri korumak üzere özel olarak oluşturulmuş üçüncü taraf araçlarını kullanmayı düşünün.
Diğer yazılarımızı okumak için buraya tıklayabilirsiniz.
SAP ile ilgili daha fazla detaylı bilgi için buraya tıklayabilirsiniz.
Sosyal Medya Hesaplarımız
Bir yanıt bırakın