IT-Security Mai/Juni 2023

Weitere Magazine

Empfehlungen

Info

26 | IT SECURITY Risikominimierung SAP-TRANSPORTE EFFIZIENT KONTROLLIEREN In jeder SAP-Umgebung sind Transporte ein wesentlicher Bestandteil, um Änderungen von einem System in ein anderes zu übertragen, neue Funktionen zu implementieren, Updates anzuwenden und Anwendungen von Drittanbietern zu installieren. So elementar diese Auslieferungen sind, bieten sie ungeprüft jedoch Einfallstore für die Einspielung risikobehafteter Objekte. Über SAP- Standards stößt der Versuch, mögliche Bedrohungen zu erkennen, schnell an Grenzen, doch gibt es Möglichkeiten, diese bereits während des Erstellens bzw. Einspielens aufzuspüren und nicht erst im Nachhinein. Ganze Produkte, Patches, Coding, Datenbank-Inhalte, Rollen, Berechtigungsobjekte: Ein SAP-Transport ist vereinfacht gesagt ein Container zum Austausch zwischen Systemen von eigentlich allem, was man innerhalb eines SAP-Systems findet. Im Normalfall wird der Transport auf einem Entwicklungssystem erstellt, dort freigegeben und exportiert, das heißt, entsprechende Dateien werden im Transportverzeichnis angelegt. Anschließend wird er in die Importqueue zum Beispiel eines Produktivsystems eingehängt und ist bereit zum Import. Sicherheitstechnisch entscheidend ist dabei, dass das Abschließen eines Imports alles Enthaltene, ob Coding oder Datenbankinhalte, automatisch aktiviert – und folglich auch eine möglicherweise enthaltene Sicherheitslücke. Daher müssen zu diesem Zeitpunkt alle Inhalte überprüft und alle Bedrohungen detektiert worden sein. Die Herausforderungen Entwickler benötigen weitgehende Berechtigungen, um beispielsweise etwas zu debuggen, Transporte zu befüllen, teilweise auch anzulegen, gegebenenfalls freizugeben, auf jeden Fall Coding zu verändern. Damit einher geht ein hohes Risikopotenzial der Manipulation, sei es per verstecktem SAP_all, Hidden-OK-Codes im Transaktionsaufruf oder modifizierte RFC-Pings. Denn für Kundige gibt es zahlreiche Möglichkeiten, Transporte vom Entwicklungssystem in weitere Systeme zu übertragen. Ein Entwicklungssystem priorisiert im Security Scope kaum und es wird wenig auf Audits oder Auditlogs geachtet. Zudem ist ABAP-Coding üblicherweise eher unübersichtlich mit Reports, die 10.000 Zeilen und mehr beinhalten sowie Funktionsgruppen aus Hunderten Bausteinen. Eine manuelle Inhaltsprüfung aller auf Schwachstellen ist angesichts der schieren Datenmenge also keine realistische Option. Wo unterstützt der SAP-Standard? Zur Risikominimierung bei SAP-Transporten stellt sich damit grundsätzlich die Frage: Was kann der SAP-Standard leisten? In der Entwicklung ist auf jeden Fall das ABAP Test Cockpit (ATC) aktiv einzusetzen und Coding schon bei der Erstellung, aber zumindest im Transportprozess automatisiert zu überprüfen. Allerdings ist ein Problem des ABAP Test Cockpits, dass es nicht sehr tief in die Securityfälle geht, das Code Scanning daher nicht vollständig ist und viele Lücken übrig lässt. So ist es zusätzlich empfehlenswert, ein ChaRM einzurichten, ein Change and Request Management, das hilft, die Transparenz und Prozesskonformität zu erhöhen. Mai/Juni 2023 | www.it-daily.net
IT SECURITY | 27 Schließlich kann man, noch vor einem Import, auf den nachfolgenden Systemen wie QS- oder Produktionssystemen die STMS_TCRI pflegen. Hier lässt sich eine Liste sicherheitskritischer Objekte hinterlegen, deren Import automatisch blockiert wird. Das Problem ist, wer erhöhte Berechtigungs-Zugriffsmöglichkeiten hat, könnte diese umgehen und sogar dafür sorgen, dass es nicht einmal auffällt. Hier ist die Tiefe der Scans im Standard schlicht nicht ausreichend. Erweiterung durch toolgestützte Transportkontrolle und Code Scan Um aber einen umfassenden Schutzschild zu gewährleisten, sollte man den SAP-Standard gezielt erweitern und ausweiten. Die Kombination mit Lösungen wie von Pathlock macht es effektiv fast unmöglich, alle Sicherheitsschritte zu umgehen. Dies beginnt im Entwicklungssystem durch eine Code-Scanning- Erweiterung des ATC mit über 80 Testfällen. Der ATC erlaubt es auch, einen Scan bereits vor der Freigabe zu machen, wodurch es möglich ist, diese Erweiterung in einem Transport-Scanning automatisch und einfach mit den Standard-Funktionalitäten einzubinden, aber damit eine tiefe Kontrolle auf Security-Schwachstellen zu haben. Der nächste Schritt ist eine Export-Kontrolle. Mit dieser Möglichkeit wird grundsätzlich jeder Export überwacht, die Objekte innerhalb eines Transports werden auf Kritikalität überprüft und gegebenenfalls wird der gesamte Transport blockiert. Es folgt eine Protokollierung des Security Events, damit das Ganze nachverfolgt werden kann. Äquivalent dazu gibt es die Möglichkeit, jeden Import zu überwachen. Für diese beiden Methoden existieren auch Trusted-Optionen, weil es bei Bedarf möglich sein muss, auch Kritisches wie ein selbstausführendes Programm einzubringen. Als Letztes folgt, zu jeder beliebigen Zeit Adhoc-Scans zu machen, um zu prüfen bzw. retrospektiv zu sehen, ob ein Inhalt kritisch ist. Die Vorteile einer toolgestützten Lösung SAP-Standardfunktionalitäten für Transportanalysen stoßen schnell an ihre Grenzen. Durch eine Toolerweiterung wird der Aufwand reduziert und Transportkontrollen lassen sich zudem noch automatisieren. Die Integration erfolgt in die von SAP bereitgestellten Standardmechanismen, ohne bereits etablierte Mechanismen zu revidieren. funktionen erweiterter Transportkontrollen SAP-Transportkontrolle inkl. Live-Hacking- Demonstration: https://bit.ly/40gGwcG Erweiterungen wie von Pathlock gehen aber bei den Kontrollanalysen einen entscheidenden Schritt weiter und ermöglichen, dass auf kritische Inhalte geprüft wird, noch bevor sie zur Einspielung in die SAP-Systeme freigegeben werden, und das in Echtzeit bereits während der Implementierung. Durch die automatische Sperrung fehlerhafter Transporte können Entwicklungsteams so Probleme beheben, bevor die Qualität, Sicherheit oder Compliance des SAP-Systems beeinträchtigt wird, egal, ob es sich um mangelhafte Codierung, fehlerhafte Konfiguration oder absichtliche Manipulation handelt. Das Regelwerk lässt sich dabei individuell erweitern, man kann eigene Pattern anlegen, eigene Suchmuster definieren und damit ganz konkret nach Schwachstellen suchen. Das Ganze ist über Customizing definiert, ohne Programmierkenntnisse möglich und macht damit den erweiterten SAP-Standard zu einer echten Bedrohungserkennung, mit der man kritische Inhalte automatisch blocken und über ein Security Dashboard tracken kann. Und schließlich ein weiterer signifikanter Vorteil: Alle Funde lassen sich in andere Tools exportieren und die Ergebnisse der Transportkontrolle beispielsweise in ein SIEM überführen. Clemens Güter, Raphael Kelbert www.pathlock.com/de www.it-daily.net | Mai/Juni 2023
Seite 1 und 2: Detect. Protect. Respond. Mai/Juni
Seite 3 und 4: INHALT | 3 COVERSTORY 04 12 Inhalt
Seite 5 und 6: COVERSTORY | 5 der klassischen Secu
Seite 7 und 8: COVERSTORY | 7 Die Aufgabe besteht
Seite 9 und 10: IT SECURITY | 9 Konsole lässt sich
Seite 11 und 12: Unternehmen leben länger mit IT-Se
Seite 13 und 14: IT SECURITY | 13 anzupassen. Der Ei
Seite 15 und 16: ADVERTORIAL | 15 Die Produktion von
Seite 17 und 18: IT SECURITY | 17 HILFSSYSTEME AD LD
Seite 19 und 20: IT SECURITY | 19 Der Plattformgedan
Seite 21 und 22: IT SECURITY | 21 einlesen und die v
Seite 23 und 24: IT SECURITY | 23 Ulrich Parthier: D
Seite 25: auch fehlende Patches, schwache Pas
Seite 29 und 30: IT SECURITY | 29 Denn wie bei allen
Seite 31 und 32: IT SECURITY | 31 immer trivial - in
Seite 33 und 34: IT SECURITY | 33 Bildquelle: ©alph
Seite 35 und 36: IT SECURITY | 35 werkstruktur, die
Seite 37 und 38: IT SECURITY | 37 Anomalien erkennen
Seite 39 und 40: IT SECURITY | 39 Industrie 4.0 WIR
Seite 41 und 42: IT SECURITY | 41 #3 Vertraulichkeit
Seite 43 und 44: IT SECURITY | 43 Standorten in der
Seite 45 und 46: IT SECURITY | 45 Cyberstorage-Bedeu
Seite 47 und 48: IT SECURITY | 47 security awareness

IT-Security Mai/Juni 2023

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?