<Insert Picture Here> ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci
Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate Build Monitor L infrastruttura a supporto dei principali ERP
La sicurezza negli ERP La sicurezza sugli ERP è da sempre sinonimo di Segregation of Duties La sicurezza degli ERP è esclusivamente intesa e limitata alla sicurezza sui privilegi di accesso. Questo tipo di analisi si è concentrata prevalentemente in analisi delle autorizzazioni utenti con lo scopo di rilevare e di ridurre i privilegi incompatibili che potrebbero causare frodi aziendali. Questo tipo di valutazione è obbligatoria per molte aziende a causa di normative quali Sarbanes-Oxley (SOX), L. 262/2005, L. 231/2001, etc. Segregation of Duties Previene attacchi o errori accidentali da parte degli utenti (business ed IT) Soluzione: GRC o K-SOD Review del Codice di programmazione Previene attacchi o errori accidentali da parte degli utenti IT Soluzione: Audit del Codice Sicurezza della piattaforma applicativa Previene l accesso non autorizzato sia dall interno che dall esterno della rete Soluzione: IT OP-SEC Se da un lato la revisione delle autorizzazioni e la Segregation of Duties (SoD) è importante, è altrettanto significativa un altra area della sicurezza degli ERP: la sicurezza tecnica, o "area grigia". Quest'area coinvolge tutti gli aspetti tecnici e i componenti che costituiscono il quadro di base per l'esecuzione dei moduli di business ed è fondamentale per la sicurezza della piattaforma: una violazione in molti di questi componenti potrebbe comportare la possibilità di effettuare attacchi come spionaggio, sabotaggio e frodi, anche se il sistema autorizzativo è sicuro.
Numero di Patch Numero di Patch Numero di Patch Numero di Patch La sicurezza negli ERP I principali ERP rilasciano continuamente aggiornamenti di sicurezza il cui numero è aumentato vertiginosamente negli ultimi anni. Oracle 500 450 400 350 300 250 200 150 100 50 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 SAP 900 800 700 600 500 400 300 200 100 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 450 400 350 300 250 200 150 100 50 0 180 160 140 120 100 80 60 40 20 0 Dati aggiornati al 01/07/2013 Windows Linux 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
I cyber-criminali Sebbene le frodi siano commesse perlopiù da dipendenti interni che hanno accesso ed una vasta conoscenza delle informazioni disponibili all interno dell organizzazione, coloro che commettono crimini informatici sono spesso le stesse persone che potrebbero sfruttare esposizioni di tipo fisico, anche se le competenze necessarie per sfruttare quelle di tipo logico sono più specialistiche e complesse. Le categorie dei possibili autori di crimini includono: Hacker persone con ampie competenze tecniche che hanno tempi e modi per dimostrare la loro abilità nel superare gli ostacoli. Script kiddies persone che usano script e programmi scritti da altri per compiere le loro intrusioni, spesso incapaci di sfruttare vulnerabilità perché non competenti. Dipendenti (autorizzati e non) affiliati all azienda che, avendo accesso ai sistemi in base alle responsabilità operative, potrebbero causare danni significativi all azienda. Personale IT queste persone hanno il più facile accesso a informazioni perché ne sono i custodi. Ex dipendenti occorre essere diffidenti nei riguardi di ex dipendenti che hanno lasciato l azienda in cattivi rapporti poiché potrebbero conservare delle facoltà di accesso alle informazioni se queste non fossero state immediatamente rimosse al momento dell uscita del dipendente Esterni, personale part-time o con contratto a termine personale che ha accesso logico e fisico non sono sempre formati sul rispetto della sicurezza e quindi possono inconsapevolmente perpetrare una violazione.
L area grigia: metodi e contromisure L idea di base per la messa in sicurezza di questa area grigia può essere derivato dal processo di OPSEC 1, il quale si propone di identificare, controllare e proteggere informazioni non classificate mettendo in atto misure (passive e/o attive) con lo scopo di eliminare o ridurre tracce di informazioni ad un potenziale nemico. È un processo sistemico e collaudato che consente di guardare sé stessi dal punto di vista dell'avversario. L IT Operation Security è quindi una metodologia per analizzare efficacemente il livello di sicurezza dei sistemi informativi aziendali utilizzati a supporto degli ERP. Identificazione delle debolezze della infrastruttura tecnologica degli ERP Tale metodologia può essere applicata sia come Assessment di IT Security (in integrazione dei GITC o svolto come attività a se stante) sia simulando un potenziale attacco informatico. Queste tipologie di valutazioni forniscono una prospettiva unica rispetto allo stato di sicurezza corrente della piattaforma tecnologica a supporto degli ERP. Finora, i sistemi ERP erano solitamente non inclusi in questo tipo di progetti: paura di interrompere il servizio e mancanza di conoscenza impediva ai responsabili di sicurezza di testare questa infrastruttura "Mission Critical". La conseguenza è che molte implementazioni di ERP non sono sicure e risultano continuamente esposte a diversi tipi di attacchi. 1. http://www.fas.org/irp/doddir/dod/jp3_13_3.pdf
Approccio KPMG KPMG propone un piano di lavoro suddiviso in tre stadi: Evalute: valutazione dell AS-IS Build: identificazione di contromisure Monitor: strumenti di controllo E Evaluate Valutazione dello stato del sistema ERP e dell infrastruttura che lo supporta. Monitor M B Build Monitoraggio delle criticità dei sistemi e della catena tecnologica di supporto Identificazione delle contromisure tecniche per limitare/azzerare le vulnerabilità riscontrate
Approccio KPMG: Evaluate E Il processo di valutazione è volto ad identificare gli anelli deboli della catena tecnologica degli ERP, cioè l'insieme delle vulnerabilità che potrebbero insistere su tutti i sistemi e i supporti che contengono e gestiscono i dati di business. KPMG propone tre differenti approcci di valutazione: Double Grey Box Penetration Test Vulnerability Environment Layer Module Attack Surface
Approccio KPMG: Evaluate Double Grey Box - Penetration Test Si esegue un tentativo di intrusione delle infrastrutture tecnologiche nel perimetro del sistema ERP (application server, database server, router, etc.) con l obiettivo di raggiungere i più alti privilegi possibili sul sistema di produzione. Vulnerability Environment Layer - Assessment Identificati tutti gli asset o le risorse che gestiscono o contengono i dati gestiti nello ERP, si esegue una valutazione al fine di identificare le vulnerabilità o minacce potenziali per ciascun asset o risorsa. L analisi delle vulnerabilità si concentra sia sulla conseguenze per l asset stesso che sulle conseguenze primarie e secondarie per l'ambiente IT circostante. Module Attack Surface Assessment (sull intera popolazione o a campione) Identificazione di backdoor nel codice, spesso dovute alla mancanza di conoscenza degli standard di programmazione, che possono compromettere il sistema ERP. Queste backdoor sono tipicamente funzioni nascoste che richiamano metodi Kernel, chiamate Kernel o chiamate di Sistema.
Approccio KPMG: Build B KPMG ITA attraverso le proprie metodologie, può supportare i clienti nell identificazione di solidi controlli che contribuiscono l abbattimento delle vulnerabilità identificate durante la precedente fase di valutazione del sistema ERP. L attività non riguarda esclusivamente la parte tecnica ma anche policy, procedure, linee guida e standard di sicurezza e controlli da adottare. Nasce quindi l esigenza di introdurre regole di hardening, cioè il rafforzamento e l evoluzione delle sicurezza delle piattaforme installate a supporto dei principali ERP di mercato. La costruzione delle procedure di hardening sono distribuite in quattro step: Identification Assessment Design Implementation
Approccio KPMG: Build Identification Identificazione degli obiettivi di sicurezza che il management della società intende raggiungere il sistema ERP adottato. Il fine ultimo di questa attività è la definizione del responsabile di amministrazione, i servizi minimi per garantire la continuità operativa IT, accessi e privilegi, logistica di base etc. Assessment Questa operazione viene effettuata dopo quella di identificazione e contiene i riferimenti per verificare la corrispondenza tra i criteri di implementazione attuale e quelli oggettivamente riconosciuti dallo standard di programmazione o da politiche più stringenti. Design Definire i requisiti di dettaglio in ordine a cinque differenti aree di intervento: networking, software di sistema, file system, utenti e sicurezza fisica. Ogni area è esaminata considerando differenti punti di rischio. Il risultato è un elenco delle procedure di cui si ha bisogno realmente di implementare. Implementation Qui si tratta del vero e proprio atto pratico. Le operazioni sono eseguite secondo l approccio Multiple Time Hardening.
Approccio KPMG: Monitor M La lista delle security patch IT è in continuo aggiornamento. Negli ultimi anni è in costante crescita il rilascio di note di sicurezza ed i sistemi che supportano i principali ERP di mercato non son da meno. L elenco dei controlli da predisporre dovrebbe essere completo, accurato e valido. Il processo di monitoraggio dei sistemi a supporto degli ERP prevede: Policy e Procedure Il continuo aggiornamento e l applicazione delle policy e procedure IT, che delineano la struttura e le linee guida per il mantenimento della correttezza delle operazioni e dei controlli, assicurano che l esposizione a criticità identificate siano correttamente trattate e gestite. Promuovere la coscienza della sicurezza Una sicurezza efficace, inoltre, sarà sempre dipendente dalle persone. Ne risulta che la sicurezza può essere effettiva solo se i collaboratori sanno che cosa ci si aspetta da loro e quali sono le loro responsabilità. Accessi logici definire e rivedere gli standard di sicurezza per gli accessi logici al fine di accertare che siano in linea con gli obiettivi aziendali in merito alla separazione dei compiti, prevengano le frodi o gli errori e soddisfino i requisiti delle policy al fine di minimizzare il rischio di accessi non autorizzativi
Approccio KPMG: Monitor Altrettanto importante, da definire dopo la fase di evaluate, è una security baseline: un piano di sicurezza di base da utilizzare come framework di controllo per le successive valutazioni della sicurezza degli ERP. Il piano dovrebbe prevedere: un inventario dell ambiente (sviluppo, test/certificazione/qualità, produzione e relativi sistemi a supporto) una policy per la gestione e la messa in sicurezza delle password (sia a livello di sistema operativo che applicative) un processo definito ed in continuo aggiornamento per l implementazione di patch di sicurezza (Support package, Security Update di OS/kernel/libraries, Critical Patch o Security Alerts per i database, etc.) revisione dei servizi minimi disponibili sui sistemi revisione continua e valutazione delle vulnerabilità 0-day pubblicate (notes, CVE, CERT, Secunia, etc.)
L infrastruttura a supporto dei principali ERP I principali ERP sono installabili su sistemi informativi e database secondo la seguente Product Availability Matrix: Windows HP-UX Oracle Solaris Linux IA32 IA64 x64 IBM AIX PA-RISC IA64 SPARC x64 IA32 IA64 x86_64 IBM Power IBM System Z OS/400 I5/OS Oracle X X X X X X X X X X X X - - Microsoft SQL Server IBM DB2 for Linux, Unix & Microsoft X X X - - - - - - - - - - - X X X X X X X - X X X X - - MAXDB X X X X X X X X X X X X - - IBM DB2 for i5/os X - X - - - - - - - - X - X IBM DB2 for z/os X - X X - - - - - - X - X - KPMG ITA offre supporto per le attività di Evaluate, Build e Monitor per i sistemi operativi e database che supportano i principali ERP.
Thank You! Luca Boselli Information Risk Management Associate Partner, Milano T: +39 02 6763 E: lboselli@kpmg.it Pasquale Vinci Information Risk Management Project Leader, Torino T:+39 011 836036 E: pvinci@kpmg.it