Эта книга знакомит вас с инструментами, задачами и мышлением, необходимыми для выполнения роли администратора безопасности SAP.

SAP System Security Guide

Joe Markgraf, Alessandro Banzer

Если вы являетесь администратором Basis и хотите держать свою систему SAP под замком, это книга для вас! Получите информацию о проблемах безопасности: от идентификации и управления доступом до безопасности сети и сервера. Узнайте технические тонкости по выявлению уязвимостей, защиты вашей системы от внутренних и внешних угроз и прохождения аудита. Защитите свою систему SAP с самого основания!

*Оригинал (англ.): SAP System Security Guide. Джо Маркграф, Алессандро Банзер. Издательство SAP PRESS. Глава 1. 2018, с. 25–43.

Перевод: Ирина Лаевская.

Введение в безопасность системы SAP // SAP Professional Journal Россия, сентябрь–октябрь №5 (76), стр. 134–148. © 2019, Джо Маркграф, Алессандро Банзер.

Вступление

Роль администратора безопасности чаще всего выполняет человек с техническим складом ума, который понимает, как платформа SAP Net-Weaver работает на техническом уровне. Часто администратор по безопасности также является ответственным за администрирование базисом, или имеет опыт системного администрирования.

Администраторы по безопасности ответственны за полную безопасность в системе SAP. Это включает, как техническую, так и функциональную безопасность. Так как безопасность в SAP это достаточно широкая тема, её можно разделить на несколько направлений. Но независимо от того, как это бужет сделано, для любого администратора важно иметь чёткое понимание основ безопасности системы.

Целевая аудитория

Эта книга предназначена для следующей целевой аудитории:

• Системным администраторам SAP, часто называемым администраторами базиса.
• Новичкам в SAP Security.
• Администраторам, занимающимся комплексной безопасностью SAP-системы.
• Младшим консультантам.

Некоторые разделы этой книги могут не представлять интереса для опытных администраторов безопасности или старших консультантов. Тем не менее принципы дизайна безопасности и основы безопасности будут полезны в качестве справочного материала всем независимо от уровня опыта.

Эта книга не задумывалась как введение в SAP NetWeaver. Тем не менее она раскрывает много основных понятий — эти темы были тщательно отобраны т. к. в традиционных введениях их часто пропускают из-за их техничности или фокуса на безопасности. Точное знание SAP NetWeaver поможет вам в понимании предыстории каждого обсуждаемого вопроса по безопасности. Мы также советуем вам получить начальное представление о Basis administration, чтобы полностью понимать материал этой книги.

Администрирование системы: широкий фронт работ

У системного администратора много ролей. Известные подроли для системного или Basis administrator включают следующие:

• Системный администратор

  Отвечает за настройку и поддержку SAP NetWeaver Application Server

• Администратор пользователей

  Отвечает за создание, изменение и удаление аккаунтов пользователей в системе

• Администратор доступа (authorization administrator)

  Отвечает за настройку авторизаций конечных пользователей. Эта роль полуфункциональная и требует знания используемого приложения на уровне пользователя

• Администратор безопасности

  Отвечает за полную техническую безопасность систем SAP NetWeaver. Эту роль можно считать подролью всех перечисленных в этом разделе ролей, но чаще всего ее упоминают как отдельную роль.

• Администратор по транспорту

  Отвечает за перемещение кода в системном пространстве SAP NetWeaver, используя Transport Management System.

• Администратор резервного копирования

  Отвечает за создание, поддержание и восстановление резервных копий данных SAP-системы и всей сопутствующей инфраструктуры (операционной системы [ОС], базы данных)

• Администратор базы данных

  Отвечает за управление основной базой данных

• Администратор операционной системы

  Отвечает за администрирование ОС, на которой работает SAP NetWeaver.

• Администратор сети

  Отвечает за сети внутри системы SAP NetWeaver и за связи между корпоративной сетью и любыми другими сетями или подсетями, в которых находятся бизнес-системы.

• Виртуальный администратор

  Отвечает за обслуживание гипервизора (управляющей программы ОС) и виртуальных машин, на которых может работать система SAP NetWeaver.

В зависимости от масштаба вашей организации, несколько позиций могут входить в зону ответственности одного человека. В некоторых организациях роли администратора по пользователям, авторизациям и безопасности объединены. В других действует жёсткое разделение прав и обязанностей, запрещающее администратору заниматься и администрированием пользователей и администрированием системы. Все компании разные.

Цель этой книги — глубоко погрузиться в роль администратора безопасности.

Что такое Базис?

В этой книге довольно часто используется термин администратор базиса (Basis Administrator). Один из наиболее часто задаваемых вопросов от новичков в SAP: «Кто такой базис-администратор? Чтобы ответить на этот вопрос, нам нужно вспомнить историю продукта SAP NetWeaver Application Server.

Термин «Базис» возник ещё в первые дни существования продукта SAP ERP, который в то время назывался R/3 (R — как указание на обработку данных в реальном времени, 3 — как указание на третий релиз продукта¹). В R/3 была представлена концепция стандартной базовой системы, состоящей из технического «базового» уровня, который служил основой всей системы. Поверх базового уровня далее устанавливались приложения для финансового учёта, логистики и управления персоналом. Basis administrator в данном случае был администратор, отвечающий за обслуживание системы на базовом уровне.

Сегодняшний преемник основополагающего базового уровня, SAP NetWeaver Application Server (AS) ABAP, является общей системой, над которой работают все продукты/приложения SAP. Это включает в себя SAP S/4HANA, SAP Business Warehouse (SAP BW), SAP ERP и многие другие решения SAP на основе ABAP. Термин «базис» больше не используется активно в маркетинге SAP, но большинство людей, имеющих отношение к SAP, все ещё применяют его, потому что он довольно точно соответствует роли, которую данный администратор выполняет в своей повседневной работе.

SAP также производит Java-сервер SAP NetWeaver AS, который является основой для таких продуктов, как SAP Enterprise Portal и половины технической основы SAP Solution Manger. SAP NetWeaver AS Java — это отдельная техническая подтема; достаточно сложная, чтобы оправдать свою собственную книгу. Слишком часто технические тексты пытаются охватить больше материала, чем стоило бы, разбрасываясь по нескольким темам, и теряя уровень детализации, необходимый для полного понимания каждого продукта. Поэтому эта книга была написана для администраторов, специализирующихся на SAP NetWeaver AS ABAP 7.5. Несмотря на то, что существует много Java-систем SAP NetWeaver AS, в этой книге не рассматриваются конкретные шаги по обеспечению безопасности таких систем. Однако многие проблемы безопасности для систем на основе ABAP схожи, с таковыми для Java.

В зависимости от размера вашей организации, вы можете быть единственным Basis администратором, который также отвечает за безопасность. Вы также можете быть сосредоточены только на безопасности SAP. Вы даже можете нести ответственность только за создание пользователей и назначение ролей. От компании к компании ваш круг обязанностей может серьёзно варьироваться. Цель этой книги — охватить всю роль администратора Basis в задачах обеспечения безопасности системы. В своей роли вы можете заниматься или не заниматься техническими задачами Basis. Ясно одно: как администратор безопасности, вы должны хорошо понимать базовый уровень. Даже если вы не выполняете ежедневную работу по Basis, вам необходимо знать, как все это работает технически, чтобы защитить систему от всех угроз на техническом уровне.

Термины администратор базиса, системный администратор и администратор SAP могут использоваться взаимозаменяемо. Чаще всего администратора basis со специализацией в администрировании безопасности называют просто администратором безопасности SAP. Для простоты в этой книге мы будем называть эту должность администратором безопасности. Чтобы сослаться на роль администратора basis, мы будем использовать термин системный администратор.

Здесь вы также найдёте обилие информации, которая направлена администраторам баз данных, сетевым администраторам, администраторам виртуализации и т. п. Несмотря на то что для каждой из этих инфраструктурных ролей было бы полезно знать основы безопасности SAP, не всегда целесообразно заставлять этих администраторов глубоко погружаться в область, занимающую лишь небольшую часть их зоны ответственности. По этой причине системному администратору SAP часто поручается работать с этими группами для поддержки системы SAP NetWeaver. Системные администраторы SAP часто взаимодействуют с инфраструктурными администраторами. Глава 15 как раз написана для того, чтобы администратор безопасности мог предоставить рекомендации администраторам инфраструктуры, чтобы те наилучшим образом защитили все компоненты системы SAP NetWeaver.

Глава 1. Введение

Прежде чем приступить к этой главе, спросите себя понимаете ли вы роль и зону ответственности системного администратора (администратора Basis).

В первой главе мы поговорим об основных понятиях и терминах, связанных с безопасностью и имеющим отношение к системам SAP, а также расскажем вам о роли системного администратора в настройке безопасности информационной системы. Уверенное владение материалом, изложенным в этой главе — это залог для понимания всех последующих тем данной книги. Не сомневайтесь возвращаться сюда по мере необходимости в процессе прочтения.

С технической точки зрения, книга ориентирована на платформу SAP NetWeaver AS ABAP и бизнес-приложения, работающие на этой платформе, т. к. большая часть практического материала в данной книге относится к платформе SAP NetWeaver. И хотя большинство понятий и терминов будут применяться практически к любой системе или платформе, с технической точки зрения всегда стоит ожидать небольших различий в подходах к безопасности у SAP или у других поставщиков программного обеспечения. Помня об этом, мы постараемся уделять больше внимания теоретической стороне безопасности. Для начала мы рассмотрим роль информационной бизнес-системы на предприятии и узнаем, что администратор безопасности должен делать для её защиты.

Современные предприятия вовсю используют программное обеспечение для поддержки важных бизнес-процессов и управления ресурсами. Программное обеспечение для планирования общеорганизационных ресурсов (ERP) и другие бизнес-приложения часто бывают незаменимы: без них деятельность предприятия скорее всего просто остановилась бы. Незаменимость порождает зависимость бизнеса от информационных систем. Бесперебойная работа и безопасность ПО становятся критически важными для успеха и процветания бизнеса.

В свою очередь, для непрерывной работы информационных систем на предприятиях требуются администраторы — люди, которые следят за информационными системами (ИС), обеспечивая их стабильность и готовность к работе. Учитывая важность и незаменимость информационных систем, их безопасность — это серьёзная задача. Администратор безопасности стоит на страже ИС, защищая их от любого вреда, что подводит нас к следующему формальному определению роли администратора безопасности:

Основная задача администратора безопасности заключается в защите информационных систем организации от угроз, как внутренних, так и внешних.

Давайте разберёмся, что означает «угроза» в этом контексте.

1.1 Потенциальные угрозы

Угроза — это все, что может нанести вред компьютерной системе. Учитывая, что многие системы SAP NetWeaver AS ABAP критически важные для предприятия, атака на информационные системы напрямую повлияет на бизнес. Поэтому в интересах любой организации защищать свои информационные системы от угроз.

Угрозы могут возникнуть, где угодно: как внутри, как за пределами предприятия. В частности, доступ в интернет является крупнейшим источником угроз или, на техническом языке, вектором атак. Всякий раз, когда система SAP подключается напрямую к Интернету, поверхность атаки (attack surface) или сумма уязвимостей системы больше. Мы углубимся в векторы атак и поверхности атак чуть позже в этой главе, но для начала помните, что там, где система SAP напрямую подключается к сети Интернет, риск внешних атак больше.

Беспечность или незнание потенциальных угроз, с которыми сталкиваются предприятия, могут дорого стоить. Если игнорировать угрозу, исходя из опыта прошлых лет, где такая же опасность не считалась за риск, можно поставить под угрозу безопасность всей системы. Тем не менее, практика игнорирования угроз настолько типична, что администраторы безопасности часто считают, что их главная работа это повышение внимательности и осведомлённости пользователей. Когда на кону взлом информационной системы, неудивительно что последствия атаки трудно переоценить. В зависимости от атаки, возможны либо полное разрушение ИС либо даже уничтожение самого предприятия. Тем не менее разработка и выполнение плана по устранению угроз безопасности — как известных, так и неизвестных — поможет избежать таких сценариев.

В следующих разделах этой главы мы рассмотрим типы атак и источники некоторых наиболее распространённых атак. Администратору безопасности зачастую полезно бывает структурировать свою работу с учётом изложенных ниже известных подходов. В процессе чтения попробуйте сравнить методы защиты, используемые в вашей организации, с теми, которые описаны в этой книге и сделать выводы. Уязвима ли ваша ИС? Может ли потенциальный злоумышленник стать угрозой вашему бизнесу?

1.1.1 Утечка данных

Утечка данных (data breach) — это раскрытие любых защищённых, частных или конфиденциальных данных. Часто такое нарушение это результат получения злоумышленником доступа к базе данных предприятия и всему, что находится в этой базе. Утечка данных всегда дорого обходится для организации, а когда утечка случается в системе SAP, ущерб может быть катастрофическим.

Утечки данных бывают двух основных типов, когда третья сторона получает доступ к базе данных или когда сотрудники внутри компании получают права доступа достаточные для чтения или копирования личных или конфиденциальных данных и их экспорта в личные системы/инф.носители. Оба сценария можно исключить при помощи надлежащего управления системой и авторизациями учётных записей.

1.1.2 Нарушение конфиденциальности

Нарушения конфиденциальности часто идут рука об руку с утечкой данных. Утечка данных, которые включают в себя личную информацию о пользователях или клиентах, считается нарушением конфиденциальности (privacy violation) и в случае возникновения может повлечь за собой значительные правовые последствия. Законы о конфиденциальности варьируются от страны к стране; если у вас есть пользователи или клиенты, которые проживают в странах со строгими законами о конфиденциальности, возможно вы официально обязаны соблюдать законы той страны, где проживает ваш пользователь или клиент. Хорошей практикой считается обеспечение безопасности данных ваших пользователей в соответствии с законами о конфиденциальности, принятыми в стране, где проживают пользователи.

1.1.3 Фишинг

Фишинговая атака (от англ. Phishing ) это атака, при которой клиентов или сотрудников компании обманным путём заставляют предоставить конфиденциальные или ценные данных третьим лицам. Администраторам безопасности важно понимать как конечные пользователи используют систему, их устоявшиеся привычки, и следить за тем, чтобы пользователи были хорошо осведомлены о фишинг-атаках, и понимали, как их обнаружить. Самый распространённый метод фишинг-атаки — по электронной почте или по телефону. Для защиты от подобного, в организации необходимо установить чёткие правила работы: следуя им, пользователи не будут разглашать учётные данные или системную информацию непроверенной третьей стороне.

Когда мишенями становятся руководители высшего уровня или системные администраторы, атака называется целевым фишингом². Это означает, что злоумышленник создаёт конкретное сообщение для своей жертвы, в попытке обмануть её и убедить разгласить конфиденциальную информацию. Наиболее распространёнными примерами такой атаки являются те случаи, когда злоумышленники выдают себя за техподдержку посредством вредоносной электронной почты или телефонного звонка. Цель злоумышленника — получить учётные данные или важную информацию, для получения доступа к данным или к информационной системе. Фишинговые атаки не так легко обнаружить, как кажется. Злоумышленники могут пойти на многое, чтобы выдать себя за достоверных лиц, что в случае успеха даст им существенное преимущество перед существующими в организации правилами безопасности.

1.1.4 Кража³

С точки зрения безопасности, кража означает взятие чего-либо, имеющего денежную ценность, интеллектуальную собственность и конфиденциальную информацию о вашей организации. Злоумышленники, имеющие доступ к вашей финансовой системе, могут манипулировать финансовыми данными, чтобы украсть что-то и скрыть свои следы. Они также могут получить доступ к секретным финансовым отчётам, и использовать такие отчёты как преимущество при торговле на бирже. Число потенциальных рисков от кражи ограничено только воображением злоумышленника.

Например, у многих компаний есть специальные принтеры для печати чеков. Кроме того, у компаний есть бизнес-процесс для отправки чека кому-то, кому компания должна денег. Преступник может заполучить возможность манипулировать как человеческим процессом, так и системой SAP, чтобы распечатать чек и получить его по почте. Без тщательно продуманной системы безопасности преступник сможет «обокрасть компанию».

Кража часто сопровождает следующий тип атаки: мошенничество.

1.1.5 Мошенничество

Мошенничество (fraud) — это акт сокрытия преступной или незаконной деятельности. Мошенничество может быть совершено внешними недоброжелателями атакующими ИС или внутренними пользователями при наличии злого умысла и доступа, достаточного для манипуляций в системе и сокрытия следов. Существует огромное количество вариантов использования лазеек в безопасности для совершения кражи и последующего использования доступа к системе, для сокрытия доказательств какой-либо незаконной деятельности.

Примером мошенничества может быть подделка финансовой отчётности, с целью скрыть недостающие средства, которые были взяты из кассовых операций. Это также известно как скимминг⁴. Это трудно обнаружить, потому что в системе не остаётся никаких следов для обнаружения проблемы — злоумышленник должен быть пойман с поличным.

Любая возможность мошенничества представляет потенциальную угрозу, и предприятия должны принять меры для обеспечения контроля над рисками и уменьшения угроз. Часто мошенничество совершается при помощи учётных записей, с доступом к финансовым и аудиторским частям системы. К таким учётным записям относятся профили типа системного администратора, поэтому проверка такого доступа неотъемлема для защиты ИС. Риск мошенничества с учётными записями можно уменьшить при помощи мониторинга и документирования того, что называется разделением обязанностей (SoD⁵). Это означает, что каждая бизнес-роль или доступ должны быть отделены от других ролей, при комбинировании с которыми может возникнуть риск мошенничества. Аудит SoD — это достаточно трудная и времезатратная тема, т. к. при большом количестве пользователей в системе разделение прав доступа может стать достаточно масштабным проектом.

1.1.6 Метод грубой силы

Использование метода проб и ошибок для угадывания паролей и получения доступа к учётным записям или системам называется атакой методом грубой силы (brute force attack) или методом перебора. Атаки таким методом представляли угрозу ещё с первых дней компьютерной эры. Благодаря прогрессу в технологиях и методах нападения, старый метод перебора все ещё актуален в современном мире. Злоумышленники используют компьютерные программы для атаки ИС или даже для взлома защищённых файлов хранения паролей, с целью получения учётных данных для входа в систему. Эти программы способны выдавать миллионы или миллиарды попыток входа в секунду и могут быстро угадать простые пароли. Используя более продвинутые методы, даже сложные пароли можно подобрать за короткое время.

По мере развития технологий и усложнения способов взлома, время, необходимое для атаки методом перебора паролей, уменьшается. Введение правил и контроля для паролей и единого входа⁶ сделают атаки методом перебора более сложными.

1.1.7 Сбой

Бывает, что злоумышленники располагают обширной сетью ботов (botnets) или взломанных компьютеров, способных выполнять команды одновременно и удалённо. Использование подобных сетей для атаки известно как атака с распределённым отказом в обслуживании (DDoS⁷) (см. Рис. 1.1). Цель подобных атак — перегрузить серверы трафиком, с целью либо повредить систему, либо иным образом сделать систему недоступной. Такие атаки трудно заблокировать, потому что их трудно выделить среди обычного трафика — сигналы ботов широко разбросаны, поступая со многих взломанных компьютеров по всему миру.