Dünyanın dört bir yanındaki şirketler, üretimi izlemek, verileri yönetmek, süreçleri iyileştirmek, ekipler halinde işbirliği yapmak, yetenekleri işe almak ve tedarikçilerle çalışmak için SAP sistemlerini internete bağlıyor. Ancak bunu yaparken bu şirketler kendilerini tüm işletmelerini çökertebilecek siber güvenlik tehditlerine maruz bırakıyorlar. Bu tehditlerden her saniye korunmak için şirketler penetrasyon yani sızma testlerini beyaz şapkalı hackerlar ile gerçekleştirmektedir.
İşletmenizi siber saldırılardan korumanın bir yolu da SAP sistemlerinizde sızma testleri(penetrasyon) yapmaktır. Deneyimli bir test uzmanı tutarsanız, en kritik SAP güvenlik açıklarınızı belirlerseniz, giriş noktalarınızı belirlerseniz, sistemlerinizi test ederseniz ve bulgularınızı belgelendirirseniz, güvenlik açıklarınızı düzeltmek için en iyi konumda olursunuz.
Peki siz, en son ne zaman bir yabancıyı ağınıza saldırmaya ve SAP uygulamalarınıza sızmaya davet ettiniz? Bu hileli bir soru değil. SAP uygulamalarınızın güvenliğine önem veriyorsanız penetrasyon testlerine de önem vermelisiniz. Sızma testi ağlarınızdaki, makinelerinizdeki, yazılımınızdaki ve diğer çevre birimlerinizde ki güvenlik risklerini ortaya çıkarır.
Sızma Testi(Penetrasyon Testi) nedir?
Sızma testi, bilgisayar ağlarının, makinelerin ve uygulamaların güvenlik açıklarına karşı, kontrol edilmesi uygulamasıdır. Pen testi ve etik hack olarak da adlandırılan sızma testi, gerçek dünyadaki siber saldırılardan ayırt edilemeyen taktikler kullanır. Tek fark sızma yani penetrasyon testinin hiçbir zararı olmamasıdır.
Sızma testi yapan kişilere genellikle pen testçileri veya beyaz şapkalı bilgisayar korsanları denir.
Pen testi genellikle manuel olarak yapılır; bireylerin veya ekiplerin ağlara erişim sağlamak için birbiri ardına teknikleri (kimlik avı, hizmet reddi saldırıları, indirme yoluyla indirmeler ve daha fazlası) denediği, ancak çoğu zaman birden fazla işlemi yürütmek üzere tasarlanmış yazılım araçlarının yardımıyla desteklenir.
Pen testinin temel amacı güvenlik zayıflıklarını tespit etmektir. Ancak aynı zamanda güvenlik zincirindeki aşağıdaki gibi diğer bağlantıları da test etmek için kullanılır:
- Güvenlik politikaları
- Uyumluluk gerekliliklerine bağlılık
- Çalışan güvenliği farkındalığı
- Güvenlik tehditlerini belirleme ve güvenlik olaylarına yanıt verme yeteneği
SAP Uygulamalarını Korumak için Penetrasyon Testi Neden Kritik Öneme Sahiptir?
İşletmeler, kurumsal kaynak planlamasından satınalmaya, mühendislikten insan kaynakları yönetimine kadar en hassas iş süreçlerini yönetmek için SAP’yi kullanıyor.
Ancak SAP, işletmelerin kolaylaştırılmış iş süreçleri aracılığıyla daha verimli çalışmasına yardımcı olurken, karmaşıklığı da bilgisayar korsanları için önemli bir saldırı yüzeyi sunduğu anlamına geliyor. Ayrıca geleneksel güvenlik uygulamaları malesef SAP’nin güvenliğini sağlamaya yönelik değildir.
Daha fazla işletme sistemlerini buluta taşıdıkça (örneğin SAP S/4 HANA Cloud, HANA Enterprise Cloud (HEC) ve Rise with SAP ile), hayati önem taşıyan iş bilgilerini ve sistem verilerini koruyabilmek için mevcut ve potansiyel güvenlik açıklarının farkında olmaları gerekir.
SAP penetrasyon testi, bir kuruluşun SAP uygulamalarına yönelik saldırılara karşı ne kadar hazırlıklı olduğunu keşfetmenin bir yoludur. Saldırganların kritik SAP verilerine erişim sağlamak için gerçekleştirdiği eylemleri simüle eder. Ayrıca mevcut güvenlik önlemlerinin güvenilirliğini de test eder.
SAP uygulamalarında kalem testi yapma adımları nelerdir?
SAP kalem testi zaman alıcıdır ve yoğun kaynak gerektirir. Başarılı SAP kalem testleri gerçekleştirmek için yeterli kaynağa ve özel bilgiye ihtiyacınız var.
SAP Uygulamalarında Penetrasyon Testi Nasıl Uygulanır?
Öncelikle yapılması gereken ilk iş, deneyimli bir test uzmanı ile anlaşmaktır. Penetrasyon Testini yapacak kişi belirlendikten sonra, penetrasyon testlerinde aşağıdaki adımlar uygulanır.
- En kritik SAP güvenlik açıklarınızı belirleyin
- Giriş noktalarını tanımlayın
- Sistemlere sızma aşaması
- Bulgularınızı belgeleyin
- Düzeltici önlem alın
Gelin isterseniz şimdi bu adımlara daha ayrıntılı olarak bakalım.
1. Adım: Deneyimli bir test uzmanı ile anlaşın
Sızma testinizi yapacak bir uzman bulmak birinci adımdır. Genel bir penetrasyon test uzmanı, ihtiyaç duyduğunuz SAP sistemleri hakkında kapsamlı bilgiye sahip olmayacaktır. Akıcı SAP konuşan bir SAP uzmanına ihtiyacınız var. SAP’ye özel penetrasyon testi hizmetleri sunan saygın şirketler,
- Layer Seven Security,
- ERPScan,
- ERNW
- Onapsis
Ayrıca giderek artan sayıda denetim şirketi, SAP denetimlerinin bir parçası olarak SAP pen testi sunuyor ve bu da siber saldırılara karşı uygun şekilde korunmayan bir SAP sisteminin iş riskini daha da vurguluyor olmaktadır.
SAP Uygulamaları Penetrasyon uzmanları, SAP uygulamalarına özgü çeşitli ortamları ve güvenlik açıklarını bilmektedirler. Hangi güvenlik mimarisinin kapsanacağını bildikleri için, kuruluşunuza en uygun proje kapsamının ne olduğuna hızlıca karar verip uygulamaya koyulurlar.
2. Adım: En kritik SAP güvenlik açıklarınızı belirleyin
Daha sonra sistemlerinizi en yaygın SAP güvenlik açıklarına karşı kontrol edin. Bu adımda aşağıdaki tehdit noktalarını kontrol etmek yeterli olacaktır.
- Hala varsayılan şifreleri kullanan standart kullanıcılar
- Eksik SAP güvenlik yamaları
- Güvenli olmayan SAP mesaj sunucuları
- Şifrelenmemiş SAP iletişimleri
- Tehlikeli SAP web uygulamaları
- Güvenli olmayan SAP ağ geçitleri (sertifika sahibi olmayan geçitler)
- Güvenli olmayan SAP RFC arayüzleri (sertifika sahibi olmayan uygulamalar)
- Güvenli olmayan IoT cihazları (sertifika sahibi olmayan bağlantılar)
3. Adım: Giriş Noktalarını Belirleyin
Hangi noktalarda savunmasız olduğunuzu anladıktan sonra bilgisayar korsanlarının SAP sistemlerinize nasıl saldırabileceğini belirlemelisiniz. Yaygın saldırı çeşitlerini aşağıda sıralıyorum.
- Siteler arası komut dosyası oluşturma (saldırganlar, hedef web uygulamasının ön uç istemcisine HTML İşaretlemesi veya JavaScript kodları ile sızmaya çalışırlar)
- SQL Injection (saldırganlar, bir SAP uygulamasının veritabanına yaptığı sorgulara müdahale eder)
- Etkilenen e-posta ekleri (Microsoft Office dosyalarına gömülü etkin içerik, truva atları, virüsler, fidye yazılımları, tuş kaydediciler ve diğer fidye yazılımları içeren uygulamalar)
- E-postalardaki kötü amaçlı bağlantılar (kurbanları yanlışlıkla truva atları, virüsler, fidye yazılımları, keylogger’lar ve diğer fidye yazılımlarını indirdikleri web sayfalarına yönlendirir)
- Döndürme (saldırganlar, kritik bir sistemdeki uzak işlev modüllerini alt sistemlerden çalıştırır)
- Portal saldırıları (saldırganlar arka kapılar oluşturmak için SAP J2EE Kullanıcı Yönetimi Motorundaki güvenlik açıklarından yararlanır)
- İşletim sistemi komut injection (saldırganlar, işletim sistemi komutlarını bir kullanıcının ayrıcalıkları altında yürütür ve SAP RFC Ağ Geçidindeki güvenlik açıklarından yararlanır)
Adım 4: Sistemlere Sızma Aşaması
Bu adımda, manuel olarak veya otomatik araçlar kullanarak, belgelediğiniz güvenlik açıklarından yararlanmaya çalışılır.
Belirlenen her güvenlik açığı için şu adımları izlenebilir.:
- RFC bağlantıları ve diğer güvenilir bağlantılar aracılığıyla bağlı sistemlere erişim sağlayın.
- Kullanıcı şifrelerinin şifresini çözün ve bunları diğer sistemlerde test edin.
- Bağlantılı sistemlere sızmak için başarılı tekniklerinizi kullanın.
- İş açısından kritik verilere erişin.
SAP Penetrasyon testi için kullanılabilecek birçok penetrasyon testi aracı vardır. Yaptığım araştırmalar sonucunda aşağıdaki penetrasyon testi araçları hakkında bilgi sahibi olabildim. Şimdi isterseniz bu araçlar hakkında bilgiler vereyim.
pySAP – pysap, SAP’nin NI, Diag, Enqueue, Router, MS, SNC, IGS, RFC ve HDB protokollerini kullanarak paket hazırlamak ve göndermek için modüller sağlayan açık kaynaklı bir Python kitaplığıdır.
Bizploit – Artık desteklenmese ve bakımı yapılmasa da Bizploit, SAP sistemlerinin penetrasyon testi için hala çok kullanışlıdır.
MetaSploit – Dünyanın en çok kullanılan penetrasyon testi çerçevesi, bu makalede anlatıldığı gibi SAP’ye özgü birkaç modüle de sahiptir.
PowerSAP – PowerSAP, diğer halka açık araçların popüler ve etkili saldırı modüllerinin bir powershell yeniden uygulamasıdır ve yalnızca Windows Powershell’den çalıştırılabilir.
ERPScan SAP – Bu uygulama, penetrasyon testçilerinin profesyonel ERPScan Güvenlik Tarayıcısı ürününe ihtiyaç duymadan kullanabileceği ücretsiz bir yazılımdır.
hashcat – Artık SAP parola algoritmasında sözlük ve farklı saldırıları çalıştırmak için SAP’nin B, F ve H tipi parola karma algoritmasını destekliyor.
Wireshark eklentisi – Tersine mühendislik için, özel SAP protokollerinin kodunu çözecek güçlü bir SAP ayrıştırıcı eklentisi var.
5. Adım: Bulgularınızı belgeleyin
Başarıyla yararlandığınız tüm güvenlik açıklarının kapsamlı bir listesini yapın. Kullandığınız saldırı vektörlerini listeleyin ve her bir SAP sisteminden nasıl yararlandığınızı açıklayın. İstismar edilen her güvenlik açığı için karşılaştığınız iş risklerini belgeleyin.
6. Adım: Düzeltici önlem alın
Etkili SAP sızma testinin son adımı, bulduğunuz güvenlik açıklarını düzeltmek için önlemler almaktır. Bu adımda aşağıdaki işlemleri yapabilirsiniz.
- SAP güvenlik yamalarını yükleme
- SAP uygulamaları için tasarlanmış antivirüs yazılımının kurulumu
- Kimlik avı saldırılarının nasıl tanınacağı ve bunlardan nasıl kaçınılacağı konusunda personeli eğitmek
- Sistem yapılandırmalarında değişiklik yapma
- SAP sistemlerinizi içerik tabanlı saldırılara (siteler arası komut dosyası oluşturma, SQL injection, dizin geçişleri) karşı korumak için yazılım yükleme
- Güvenlik politikalarının gözden geçirilmesi
SAP Sistemi ile ilgili diğer yazılarımız için buraya tıklayınız.
SAP Sistemi ile ilgili daha detaylı bilgi için buraya tıklayınız.
Sosyal Medya Hesaplarımız
Bir yanıt bırakın