‘Altijd veilig achter de SAP-firewall’, is dat wel waar?

 

Binnen IT-systemen kunnen hackers aanzienlijke schade aanrichten, maar een systeem is vanzelfsprekend onmisbaar voor iedere organisatie. Je accepteert dan – zij het impliciet – een bepaald risico. Dit ‘geaccepteerde’ risico is lang niet bij iedereen duidelijk, laat staan daadwerkelijk geaccepteerd. Maar hoe krijg je helder wat de risico’s zijn? En wat kun je doen om dingen als datalekken te voorkomen?


Onder SAP-gebruikers is het écht goed beveiligen van het systeem onderbelicht gebleven, omdat we allemaal lekker veilig achter de firewall zaten die gevaren prima aankon. Een mythe, als je het mij vraagt. En niet de enige mythe die rondom SAP heerst:

  • SAP staat voor Duitse degelijkheid, dus het moet wel veilig zijn;

  • SAP Security is slechts de inrichting van “segregation of duties”, oftewel het instellen van autorisaties;

  • SAP systemen worden niet door hackers aangevallen, want deze zijn te specifiek;

  • SAP Security is het probleem van SAP zelf;

  • En misschien wel de meest opvallende: we zijn compliant, dus we zijn veilig.


Deze moeten worden doorbroken, want een veilig systeem is van groot belang. Ik wil in deze blog twee voorbeelden van bedreigingen uitlichten, met dank aan security-experts binnen de VNSG.


Bedreiging 1: RFC Gateway exploiting

Een van de risico’s is feitelijk een ontwerpfout in SAP-systemen die al bestaat sinds het begin: RFC Gateway exploiting. Wanneer RFC-koppelingen niet goed beveiligd zijn, leidt dit tot het ongeautoriseerd kunnen uitvoeren van commando’s op de SAP-server. Denk hierbij aan het aanpassen van gegevens in de SAP-database of het ophalen van alle mogelijke gegevens uit de SAP-omgeving van jouw organisatie.


Bedreiging 2: Metasploit module
Metasploit is een penetratietest-framework voor verschillende software en hardware. Daarin zitten ook verschillende modules om SAP-systemen aan te vallen. Dit framework is een vrij downloadbaar product en stelt in principe iedereen in staat om SAP-systemen te testen op kwetsbaarheden. Een kans voor jouw organisatie dus om het eigen systeem onder de loep te nemen. Doe je dit niet, dan vormt dit een gevaar. Vandaar mijn advies: ‘Test je eigen systeem door, voordat een ander dat doet.’


The list goes on, maar voor nu laat ik het hier even bij. Wel wil ik nog een zestal tips toevoegen, waarmee je als organisatie direct van start kunt op het gebied van security:

  1. Patch regelmatig alle componenten;

  2. Gebruik tools;

  3. Lees en implementeer de relevante SAP Security guides en whitepapers;

  4. Beveilig de RFC-koppelingen en verander de standaard wachtwoorden;

  5. Controleer regelmatig je SAP-landschap, eventueel via open source of commerciële tools;

  6. Zorg voor voldoende logging. Mocht het fout gegaan zijn, dan heb je in ieder geval iets om op terug te vallen.


Goede beveiliging is voor iedere organisatie van levensbelang. Een uitdaging, aangezien er voortdurend veel ontwikkelingen gaande zijn op het gebied van security. Ga van start met de tips en houd bedreigingen in je achterhoofd. En als je er niet uitkomt: huur specialisten in! Laat het je nachtrust niet verstoren, kom in actie. Stilzitten ‘achter de firewall’ is nooit een goede optie.


Arnoud Roebers, Bestuurslid VNSG & Sr. Solution Architect

 

Meest gelezen