Le SAP Security Patch sono una tematica di primaria importanza per tutte le aziende che utilizzano SAP. Come per ogni software, tenere aggiornato SAP permette di evitare che le vulnerabilità siano conosciute, esposte e potenzialmente sfruttabili da parte di terzi. Spesso, all'interno delle aziende, la gestione delle patch di sicurezza è considerata come una sorta di attività che deve essere programmata solamente qualora vi siano sia tempistiche che risorse sufficienti. Questa logica che porta a posporre continuamente gli aggiornamenti, senza alcuna reale scadenza, espone i sistemi e le applicazioni dell’ERP alla minaccia di attacchi da parte di cyber-criminali.
Ecco perché è importante sapere nel dettaglio cosa sono le SAP Security Patch e quali siano gli ambiti di applicazione.
Cosa sono le SAP Security Patch?
Le SAP Security Patch vengono rilasciate da parte di SAP attraverso alcune note sia su SAP Portal che nella pagina di Wiki della community SAP. Questi documenti, pubblicati ogni secondo martedì del mese, contengono la relativa classificazione delle vulnerabilità, basata sul sistema CVSS. All'interno di ciascuna sono illustrati i passaggi necessari al fine di attuare le patch o quali tipologie di configurazione adottare.
Trattandosi di vulnerabilità critiche, spesso analizzate e scoperte da parte di ricercatori esterni, le SAP Security Patch devono essere sotto costante controllo. Basti pensare che nel 2020 è stato identificato un bug denominato RECON1 (Remotely Exploitable Code on NeatWeawer), con cui i potenziali attaccanti potevano accedere in modalità non ristretta a informazioni sensibili, eliminare file, eseguire codice e molto altro ancora.
Tutto ciò conferma l'importanza della continua gestione delle patch per i sistemi ERP, al fine di garantire che almeno le vulnerabilità identificate siano adeguatamente corrette, poiché l’adozione di procedure complesse e proattive non è elemento sufficiente per evitare potenziali attacchi perpetrati sfruttando bug o vulnerabilità conosciute. Un aggiornamento costante e preciso rimuove le falle che potrebbero portare a un’esposizione dei dati contenuti nell’ERP.
Gli ambiti di applicazione delle patch di SAP
Le vulnerabilità che vengono corrette attraverso le Security Patch comprendono qualsiasi ambito di applicazione. Molto spesso sono relative a parti di codice, risolte con un aggiornamento software, o, in alternativa, viene richiesto un intervento manuale.
In generale, una volta applicate, le Security Patch non dovrebbero comportare problemi a livello di sistema. Tuttavia, in un’ottica che punta alla massima continuità operativa del business, è ideale adottare procedure per l’applicazione delle patch prima nell’ambiente di sviluppo e solo successivamente in produzione. In parallelo, SAP mette a disposizione SAP Solution Manager, una piattaforma end-to-end per assistere gli utenti nell'adozione di nuovi processi di sviluppo, con una gestione del ciclo vita del software con una suite di test completamente automatizzati.
Quindi, per tutti i clienti SAP, le vulnerabilità che, giorno dopo giorno, vengono trovate e risolte sono un aspetto da tenere in estrema considerazione per proteggere tutti gli applicativi mission-critical dell’ERP, così come gli stessi dati contenuti in essi. Quest’ultimi rappresentano la linfa vitale del proprio business, sicché le SAP Security Patch devono essere tenute sotto costante monitoraggio e applicate nel più breve tempo possibile, non appena rilasciate.
Data la rapidità con cui le minacce alla sicurezza informatica possono evolversi, le aziende non possono più permettersi di rimanere non aggiornate sui problemi di sicurezza noti, bensì devono monitorare costantemente potenziali falle. Nei casi in cui il team IT non sia in grado di tenere il passo con la gestione delle patch di sicurezza, è necessario collaborare con un team di esperti e consulenti di sicurezza ERP, ancora meglio se dotati di una conoscenza specialistica di SAP, così che possano svolgere il lavoro più complesso e gravoso.
1Fonte: SAP Knowledge Base Article
