Cybersecurity ERP - Rilevazione e prevenzione delle minacce informatiche nel mondo enterprise

1. ERP Cybersecurity
Prevenzione e rilevazione delle minacce
informatiche nel mondo enterprise
Luigi Granitto, Qintesi e Socio AIPSI
Alex Battistel, Qintesi

2. Chi siamo
2
LUIGI GRANITTO
Ha maturato un’esperienza pluriennale nell’ambito della
Governance Risk e Compliance; nella Security degli
applicativi SAP e nell’ideazione e realizzazione di sistemi di
gestione del processo di Disclosure Contabile e di
monitoraggio dei processi amministrativo/contabili presso
importanti clienti dei settori Insurance, Utilities, Food,
Engineering & Construction e GDO.
SAP Cybersecurity Manager Qintesi SpA
luigi.granitto@qintesi.it+39 335 7544035
ALEX BATTISTEL
Professionalmente ha operato con responsabilità crescenti in
progetti relativi alla Security degli applicativi SAP e
nell’ambito della Governance Risk e Compliance, presso
importanti clienti dei settori Insurance, Utilities, Engineering
& Construction.
SAP Cybersecurity Expert Qintesi SpA
alex.battistel@qintesi.it+39 345 0661115

3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• Associazione apolitica e senza fini di lucro
• Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org)
che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT nel mondo
• Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze
→carriera e crescita business
• Offrendo ai propri Soci servizi qualificati per tale crescita, che includono
• Convegni, workshop, webinar sia a livello nazionale che internazionale via
ISSA
• ISSA Journal
• Rapporti annuali e specifici; esempi:
• Rapporto annuale OAD nel nuovo sito https://www.oadweb.it
• ESG ISSA Survey “The Life and Times of Cyber Security Professionals”
• Concreto supporto nell’intero ciclo di vita professionale, con formazione
specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-
1:2016)
• Collaborazione con varie Associazioni ed Enti per eventi ed iniziative
congiunte
• Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a
tutte le donne che in Italia operano a qualsiasi livello nell’ambito della
sicurezza digitale (anche non socie AIPSI) 3

4. QINTESI
People Shaping Solutions
è il nostro payoff e vuole rappresentare
Il valore del gruppo
professionale garantito
da un’elevata seniority
e dallo sviluppo
continuo di nuove
competenze
La capacità di
«plasmare» e offrire
al cliente servizi con
un approccio
rigoroso e concreto
Soluzioni innovative e
durature che
soddisfano le esigenze
del Cliente
Il gruppo Qintesi offre consulenza direzionale, system integration, soluzioni
e servizi tecnologici e process outsourcing.
La nostra Mission è quella di contribuire ad accrescere il Valore e
migliorare la Competitività dei Clienti supportandoli nei processi di
digitalizzazione ed innovazione attraverso servizi professionali e soluzioni
applicative SAP con metodologie e continui riferimenti operativi alle best
practice di settore.
Il nostro approccio è caratterizzato dall’apprendimento continuo e da una
costante attenzione a trasformare l’innovazione in «Valore» e attraverso:
L’integrazione tra competenze funzionali e tecnologiche
L’orientamento agli obiettivi, ai tempi di delivery e al
rispetto del budget
La solidità e la pluriennale esperienza del nostro gruppo
professionale
L’affidabilità di un servizio costante per il Cliente
Qintesi è SAP Gold Partner con qualifica di Service Partner e Build Partner SAP
4

5. Enterprise Resource Planning
Letteralmente "pianificazione delle risorse
d'impresa", spesso abbreviato in ERP è un
sistema di gestione, chiamato in
informatica sistema informativo, che
integra tutti i processi di business rilevanti
di un'azienda (vendite, acquisti, gestione
magazzino, contabilità, risorse umane,
payroll, etc.).
ERP
Finance
and
Controlling
Sales and
Distribution
Material
Management
Human
Resources
Production
Planning
6

6. Enterprise Resource Planning
Ma l’ERP non è l’unica applicazione di business critica…
7

7. Enterprise Resource Planning
◼ Tutti i processi aziendali sono generalmente contenuti nei sistemi ERP.
◼ Gran parte delle informazioni aziendali che un attaccante potrebbe desiderare, sia esso un Cybercriminale, una
spia industriale o un concorrente, è memorizzata negli ERP delle organizzazioni.
◼ Queste informazioni possono includere relazioni finanziarie pubbliche o di clienti, proprietà intellettuali,
informazioni personali, sensibili, critiche e altro ancora.
◼ Spionaggi industriali, sabotaggi, frodi o appropriazione indebita possono essere molto efficaci se mirati ai sistemi
informativi delle organizzazioni e potrebbero causare danni significativi al business.
8

8. Principali soluzioni ERP
Sul mercato son presenti diverse soluzioni ERP. Molte sono rivolte a piccole realtà produttive, mentre per le organizzazioni più articolate le soluzioni più diffuse e
in grado di soddisfare le crescenti esigenze aziendali sono le seguenti:
9

9. Uno degli ERP più diffusi sul mercato
SAP è una multinazionale europea per la produzione di software. È una delle principali aziende al mondo nel settore
degli ERP e in generale nelle soluzioni Enterprise.
Nata nel 1972, la società si è velocemente sviluppata costituendo in tutto il mondo filiali amministrative, operative e
laboratori per la ricerca e lo sviluppo. La sede storica è a Walldorf, in Germania. Nel 1980 la SAP ha creato il
linguaggio di programmazione proprietario ABAP, con cui sono stati scritti quasi tutti i suoi prodotti.
Nel 2012 SAP contava nel mondo un organico di oltre 59.000 persone, di queste circa 560 persone in Italia. Oltre
195.000 aziende, in più di 120 paesi possiedono installazioni di software SAP, di queste 3.500 in Italia. Il 65% delle
installazioni riguardano la sfera delle piccole e medie aziende.
10

10. SAP Security Oggi
11

11. Digital Transformation
◼ Il volume e la complessità degli attacchi è aumentato vertiginosamente negli ultimi anni e con essi
il numero di accessi non autorizzati.
12

12. B A C K D O O R
B R E A C H
H A C K I N G
E S P I O N A G E
P R I V A C Y
F R A U D
I N C I D E N T
A C C E S S
P R O T E C T I O N
T H E F T
S A B O T A G E
G O V E R N A N C E
I N F O R M A T I O N
D A T A
Data Breach con ERP
13
13

13. Internet of Things
14
14

14. Un esempio di attacco reale all’ERP SAP
SAP NetWeaver ABAP Inurl:/SAP/**/**
SAP NetWeaver J2EE Inurl:/irj/*****
SAP Business Objects inurl:infoviewap****
15

15. Un esempio di attacco reale ad un ERP (SAP)
16

16. SAP Ransomware POC
Un attaccante più che criptare i vostri
dati SAP potrebbe richiedere un
pagamento per non divulgare
informazioni sensibili…
17

17. Un esempio di attacco reale a ERP SAP da mail
18
Un dipendente riceve una mail con un allegato
Excel e lo apre accettando che la macro sia
eseguita.
La macro accede al file locale delle connessioni
SAP (saplogon.ini), ed effettua un attacco di
tipo Brute Force sui sistemi individuati.
La macro legge e invia informazioni sensibili
all’attaccante.
1 2 3
Esempio di dipendente strumentalizzato in un attacco informatico contro la sua organizzazione.
18

18. Tipiche vulnerabilità sistemi ERP
I sistemi ERP spesso non vengono rilasciati con le corrette configurazioni di sicurezza. Ne consegue che
una non corretta o mancata configurazione espone l’organizzazione a rischi interni ed esterni.
I Cyber Attacker conoscono questi potenziali vettori di attacco e possono sfruttare queste vulnerabilità a
proprio vantaggio.
Le più comuni minacce di sicurezza ERP:
✓ Utenti standard con password di default non modificata
✓ Codice Custom con vulnerabilità ad attacchi esterni e backdoor
✓ Note di Sicurezza non implementate
✓ Permessi Critici IT assegnati ad utenti in maniera estesa e non controllata
✓ Parametri di sistema configurati incorrettamente o del tutto mancanti
✓ Permessi Business assegnati ad utenti in maniera estesa e non controllata
✓ RFC che permettono il collegamento al sistema dall’esterno o da altri sistemi interni
19

19. Complessità
319
84
67
50
44
40
12
9,5
0 50 100 150 200 250 300 350
SAP Business Suite
Mac OS X Tiger…
Debian 5.0 (Linux)
Microsoft Vista 2007
Microsoft Office 2013
Microsoft Windows 7
Android
Mozilla Firefox
Righe di Codice (in milioni)
Righe di Codice
20

20. Come prevenire e rilevare
le minacce?
21

21. SAP Cyber Security Roadmap
Audit
Qintesi consiglia di definire la propria
SAP Cyber Security applicando le best
practice e procedendo alla messa in
sicurezza delle seguenti aree
attraverso un approccio olistico
basato sul rischio.

22. Metodologia: continuos security lifecycle
23

23. L’analisi del codice
Il code inspector è un tool standard con il quale è possibile effettuare scansioni statiche
del codice ABAP al fine di analizzarne la sicurezza funzionale. Può essere integrato con
tool di change management (come ad esempio Charm) con l’obiettivo di verificare in
maniera automatica la conformità degli sviluppi SAP prima di portarli in produzione.
Il tool può essere utilizzato con una o più varianti di controllo che permettono
un’analisi più o meno dettagliata del codice:
▪ Standard Program Check: permette un’ispezione di sicurezza del codice base
rilevando eventuali stringhe di codice che non rispettano le best practice di codifica
generale (Transaction Call, Interrogazione Database, Programmazione dinamica).
▪ Code Vulnerability Analysis (CVA): permette un’ispezione di sicurezza del codice
approfondita rilevando eventuali stringhe di codice che non rispettano le best
practice di codifica generale (Authority Check, Potenziali Accessi non autorizzati a
file e cartelle, SQL injection, manipolazione dinamica del codice abap,
manipolazione, ecc.).
▪ Custom Program Check: permette un’ispezione di sicurezza del codice
personalizzabile (programmi custom senza Authority Check, Utenze hardcoded,
Ruoli Hardcoded, backdoor, interrogazioni tabelle sensibili, ecc.).
Custom Code SecurityChange Management
24

24. Il controllo degli accessi
25

25. La gestione dei Log e il mascheramento dati
▪ UI Logging consente di ampliare il log standard dell’ERP tenendo
traccia del solo accesso di un utente a un determinate dato,
indipendentemente dalla user interface utilizzata.
▪ Field Masking nasconde I dati ritenuti sensibili da qualsiasi
accesso e da qualsiasi tipologia di utente (compresi gli utenti con
profili estesi).
26

26. L’individuazione di vulnerabilità e dei rischi
▪ Recepisce e analizza i log provenienti dagli applicativi
aziendali.
▪ Individua in tempo reale i tentativi di intrusione mettendo
in correlazione eventi accaduti su sistemi differenti.
▪ Contiene dei pattern, ovvero delle regole di Cyber Security,
preimpostate (ad esempio per ERP SAP) ma è in grado di
analizzare qualsiasi tipo di evento su qualisiasi tipologia di
sistema informativo.
L’esigenza di monitoraggio multiplo di diversi sistemi
(ERP e no) può essere soddisfatta attraverso l’utilizzo di
tool di monitoraggio e di correlazione eventi come
l’Enterprise Threat Detection:
Security Review
And Monitoring

27. CI SONO DOMANDE?
Grazie