SAP Basis dünyasında Salı günleri, haftanın diğer günlerinden farklı bir ağırlığa sahiptir. Özellikle her ayın ikinci Salı günü yayınlanan SAP Security Patch Day, bir Basis uzmanı için sadece bir “bakım penceresi” değil, aynı zamanda sistemin bağışıklık sistemiyle yapılan bir satranç maçıdır. Ancak kabul edelim; çoğumuz için bu süreç, binlerce satırlık teknik dokümanların arasında kaybolduğumuz, “Uygulasam bir yer patlar mı, uygulamasam hacklenir miyiz?” ikileminin tam ortasında kalan sancılı bir operasyondur.
Ancak gerçek şu ki; sadece yama geçerek bu labirentten çıkmak artık mümkün değil. Bugün siber dayanıklılık, teknik bir prosedürün ötesine geçerek stratejik bir refleks haline gelmek zorunda. Gelin, klasikleşmiş ‘nasıl yapılır’ rehberlerini bir kenara bırakalım; Basis dünyasındaki o görünmez hataları, irrasyonel tutumları ve yamaların çok ötesinde şekillenen yeni nesil savunma stratejilerini birlikte konuşalım.
“Salı Anksiyetesi”: Gerçek Bir Senaryo ve 72 Saat Kuralı
Bir düşünün: Çarşamba sabahı saat 09:00. Kahvenizi yeni almışsınız, monitörünüzde SAP for Me açık. Karşınızda bir Hot News duruyor. CVSS skoru 10.0. Konu: ICM (Internet Communication Manager) üzerinden Remote Code Execution.
Bu noktada yaşanan o tanıdık hissi biliyorsunuz. İşte burada “Basis Paradoksu” devreye girer. Bir yanda “Sistemi hemen korumaya almalıyım” diyen güvenlik bilinci, diğer yanda “Bu notu uygularsam HTTP servisleri durur mu, entegrasyonlarımız çöker mi?” diyen operasyonel korku.
Kritik Veri:Onapsis ve çeşitli siber güvenlik araştırma raporlarına göre, kritik bir zafiyet yayınlandıktan sonra saldırganların bu açığı istismar etme (exploit) süresi artık 72 saate kadar düşmüş durumda. Ancak kurumsal yapılarda bir “Hot News” notunun üretim sistemine (PRD) ulaşması ortalama 14 ile 30 gün sürüyor. Bu “30 günlük gri alan”, kalenizin kapısının aralık kaldığı süredir.
Sahada Sık Karşılaşılan Hatalar ve İrrasyonel Tutumlar
Basis profesyonelleri olarak bazen kendi kendimizi sabote ediyoruz. İşte son dönemde projelerde sıkça rastladığımız o “tanıdık” senaryolar:
- “Kümülatif Not” İllüzyonu: Sadece en yüksek skorlu nota odaklanmak büyük bir hatadır. Bazen 5.5 skorlu bir “Information Disclosure” açığı, saldırganın 10.0’lık bir açığı tetiklemesi için gereken kullanıcı bilgisini sızdırabilir. Güvenlik bir zincirdir; zincirin gücü en zayıf halka kadardır.
- Manual Post-Implementation Adımlarını Atlamak: SNOTE notu başarıyla indirir ve uygular. Ancak o meşhur gri metinde “Manual Activity” başlığı altında bir tabloyu güncellemeniz veya bir servisi restart etmeniz gerektiği yazar. O satır okunmazsa, not uygulandı görünür ama sistem hala açıktır. Bu, kapıyı kilitleyip anahtarı paspasın altında bırakmaya benzer.
- RISE with SAP Rehaveti: Bulut, sorumluluğu devretmez; sadece dağıtır. SAP, altyapı ve kernel yamalarından sorumlu olabilir ancak uygulama seviyesindeki (SNOTE ile geçilen) notlar hala sizin sorumluluğunuzdadır. Bulut, sizi SNOTE ekranından emekli etmez.
Küçük Bir İpucu:
SNOTE ekranında yeşil ışığı görmek her zaman “güvendesiniz” demek değildir. Örneğin, kritik bir ICM notunda sistem yeşil yanabilir ama notun en altındaki o küçük tabloda yer alan Z_CHECK_ICM raporunu çalıştırmadığınız sürece yama aktifleşmez. Kapıyı kilitleyip anahtarı paspasın altında bırakmadığınızdan emin olun.
Yetkilendirme (Authorization) Gerçeği: Görünmez Tehlike
Güvenlik sadece SNOTE ve Kernel Update değildir. Çoğu zaman en büyük siber delik, teknik bir açıktan değil, kontrolsüz yetkilendirmelerden açılır.
- SAP_ALL ile çalışan servis kullanıcıları,
- Yıllardır gözden geçirilmemiş RFC yetkileri,
- “Test ediyoruz” diyerek açık bırakılan geniş kapsamlı roller…
Bu zafiyetler, en karmaşık zero-day saldırısından bile daha tehlikelidir çünkü sistem saldırganı “meşru bir kullanıcı” olarak görür. SUIM ve ST01 üzerinden yapılacak düzenli denetimler, en az bir güvenlik yaması kadar hayatidir.
Ek Bilgi Kaynağı
SAP sistemlerinde siber güvenlikle ilgili Basis uzmanlarının kritik sorumlulukları hakkında derinlemesine bir iç görü kazanmak istiyorsanız bu makale tam size göre!
Otomasyon: SNOTE’un Körlemesine Uygulanması mı?
Modern dünyada Ansible ve Terraform gibi araçların Basis dünyasına girişi heyecan verici. Ancak burada bir netlik sağlamalıyız: Bahsettiğimiz otomasyon, “Notu bul ve tüm sisteme düşünmeden bas” demek değildir. Bu çok tehlikeli bir yaklaşımdır.
Stratejik otomasyon; Landscape Discovery (Sistem keşfi), Impact Analysis (Etki analizi), Pre-check (Ön kontroller) ve Governance (Yönetişim) süreçlerini kapsamalıdır. Notun kendisini körlemesine geçmekten ziyade, hangi sistemlerin bu nottan etkileneceğini tespit eden ve rollout sürecini kontrollü bir şekilde yöneten bir otomasyon kurgulanmalıdır.
Siber Dayanıklılık ve İnsan Faktörü
Yazının başında bahsettiğimiz o “Salı Anksiyetesi” sadece teknik bir durum değildir; psikolojiktir. Basis uzmanı çoğu zaman büyük bir risk alır ama son karar verici değildir. Kararı tek başına almak zorunda bırakılmak, profesyonelin üzerindeki en büyük yüktür.
Burada Cyber Resilience (Siber Dayanıklılık) kavramı devreye giriyor. Yama geçmek sizi korur; ama geri dönebiliyor olmak sizi hayatta tutar. Immutable backup (değiştirilemez yedekleme) stratejileri ve düzenli Restore testleri, bir Basis uzmanının geceleri rahat uyumasını sağlayan asıl unsurlardır.
2025 Projeksiyonu: RISE with SAP Basis Uzmanını Gereksiz mi Kılıyor?
Sektördeki en büyük yanılgı, RISE with SAP veya Cloud ERP geçişinden sonra Basis uzmanının rolünün bittiği düşüncesidir. Oysa 2025 yılında durum tam tersi: Teknoloji ne kadar “managed” (yönetilen) olursa olsun, o teknolojinin işe ve güvenliğe hizmet etmesini sağlayan akıl hala Basis uzmanının aklıdır.
2025’in Yeni Kritik Rolleri:
- Hizmet Orkestra Şefi: SAP altyapı yamalarını yönetebilir; ancak SAP BTP (Business Technology Platform) üzerindeki Identity Authentication (IAS) veya Cloud Connector güvenliği artık sizin masanızda.
- AI Yönetişimi: SAP’nin Joule asistanı ve Business AI servislerinin güvenli konfigürasyonu, veri gizliliği (Data Privacy) ve AI modellerinin erişim yetkilerinin yönetilmesi 2025’in en kritik Basis görevi haline geldi.
- Zero Trust Mimarı: 2025’te Basis uzmanı artık sadece ABAP değil, Hyperscaler (Azure, AWS, GCP) güvenlik servisleri ile SAP’yi konuşturabilen bir bulut mimarına evrilmek zorunda.
Uzman Notu:RISE modelinde SAP sizin evinizin dış cephesinden ve asansörlerinden (Infrastructure/Kernel) sorumludur; ancak dairenin içindeki kilitleri değiştirmek (Application SNOTE’lar) hala sizin anahtarınızdadır. Bulut sizi SNOTE ekranından emekli etmez, sadece daha stratejik bir konuma taşır.
Sıcak Gelişmeler: 2025’in Tehdit Ajandası
2025’in ilk çeyreği itibarıyla güvenlik notu sayısında geçen yıla oranla %39’luk bir artış gözlemliyoruz. Özellikle şu üç alan alarm veriyor:
- SAP NetWeaver Visual Composer (CVE-2025-42944): Remote Code Execution (RCE) riski barındıran bu tür “Hot News” notları, internete açık portalları doğrudan hedef alıyor.
- RFC Callback Açıkları: SAP, eski “trust” ilişkilerini sorgulayan notlara ağırlık veriyor. Bu notları geçmemek, saldırganlara sistemler arası otoyol sunmaktır.
- Clean Core ve Güvenlik: Artık sadece standart SAP kodu değil, “Z” geliştirmeler de birer zafiyet odağı. Code Vulnerability Analyzer (CVA) artık lüks değil, 2025 standartlarında bir zorunluluktur.
Sonuç: Uptime mı, Güvenlik mi?
Bir SAP sistemini bir gökdelen gibi düşünün. Basis uzmanı, asansörleri (background joblar) ve tesisatı (database) yöneten bir teknisyenden fazlasıdır; o binanın güvenlik mimarıdır.
Yöneticilerle yaşanan o klasik çatışma: “Sistemi yama için 2 saat kapatamayız.” Ancak bir fidye yazılımı saldırısı sonrası sistemin 2 hafta kapalı kalması ile 2 saatlik planlı kesinti arasındaki farkı anlatmak bizim görevimizdir. 2025 yılında güvenlik, bir “maliyet” değil, “iş sürekliliği sigortası”dır.
Basis desteği veren bir firma olarak, sadece “not uygulayan teknik eller” sunmuyoruz. Basisci olarak, 2025’in karmaşık hibrit dünyasında sistemlerin siber dayanıklılığını inşa eden mimarlar olarak yanınızdayız.