Af Christoph Aschauer, Director, LogPoint til SAP

Organisationer, der bruger SAP som deres forretningsapplikation eller ERP system, gemmer ofte deres mest kritiske aktiver, herunder intellektuelle ejendomme inden for SAP. Disse data skal beskyttes mod uautoriseret adgange, der kommer uden for og inden for organisationen. SAP systemer kræver omfattende beskyttelse og sikkerhedsovervågning.

Hvad er SAP Security?

Der er forskellige aspekter ved SAP Security, såsom infrastruktursikkerhed, netværkssikkerhed, operativsystemsikkerhed og databasesikkerhed. Det næste lag er sikker kode, som inkluderer vedligeholdelse af SAP kode og sikkerhed i brugerdefineret kode. En sikker opsætning af SAP servere er essentiel. Det dækker en sikker konfiguration af en server, aktivering af sikkerhedslogging, sikkerhed i systemkommunikation og datasikkerhed. Brugere og autorisationer er ikke mindre kritiske. Samlet set er det vigtigt at garantere system compliance ved hjælp af kontinuerlig overvågning, revision og etablering af nødkoncepter.

Hvordan bruges SAP Security og hvorfor er det vigtigt?

SAP security er ofte lukket eller en blind plet inden for den centraliserede cybersikkerhedsovervågning af en virksomhed. SAP security skal beskytte de forretningskritiske systemer, som organisationer er afhængige af for at drive deres forretning effektivt.

De mest almindelige use cases inkluderer:

  • Undgå udnyttelse og svindel
  • Sikring af dataintegritet 
  • Identificering af uautoriseret adgang
  • Kontinuerlig og automatiseret revision
  • Registrering af datalækager
  • Centralisering af sikkerhedsovervågning

Et angreb på SAP systemer kan have en ødelæggende indvirkning på driften af ​​virksomheden, der kan resultere i både økonomiske tab og et dårligt omdømme.
Disse systemer skal beskyttes mod interne og eksterne cybertrusler for at opretholde fortrolighed, tilgængelighed og integritet. På trods af dette holder mange organisationer dem uden for sikkerhedsteams eller er afhængige af ERP leverandørværktøjerne alene. Dette øger risikoen for angreb og gør ERP systemer, såsom SAP, et primært mål for modstandere.

Hvorfor SAP systemer er særligt udsatte for cyberattacks

Hvordan fungerer SAP Security?

SAP systemer er af natur komplekse og unikke, hvilket gør tilstrækkelig cybersikkerhed udfordrende at opnå. Der er flere discipliner at mestre inden for SAP security for at sikre en sund sikkerhedsstilling:

Roller og tilladelser

SAP leverer nødvendige godkendelser som standard. Kundespecifikke autorisationskoncepter er konfigureret i SAP, så vigtige tilladelser kan tildeles. Tildelingen af ​​autorisationskombinationer (Segregation of Duties, SOD) er kritisk. Tildelingen af ​​kritiske kombinationer af godkendelser bør undgås og kun anvendes eller tildeles i ekstraordinære tilfælde, f.eks. Med såkaldte ‘firefighter accounts’. En yderligere komplikation i SAP security er, at autorisationer og roller kan manipuleres i SAP ved hjælp af SAP standardmidler.

Undersøgelse af nødvendige godkendelser og godkendelseskombinationer er derfor af afgørende betydning og giver virksomheder betydelige udfordringer. Den kontinuerlige automatiserede gennemgang af SAP godkendelser er også af stor betydning.

Sådanne kontroller bruger et testkatalog. Oprettelse af dette fra bunden kræver meget indsats og er ikke kun relevant for autorisationer i SAP basis området, men for forretningsprocesser. Antag, at 4-6 øjenprincipper undermineres ved tildelingen af ​​nødvendige tilladelser samt kombinationer af tilladelser. I så fald er der risiko for udnyttelse eller bedrageri.

SOD-kontrol udføres ideelt ikke kun i henhold til SAP-roller, men ifølge brugere, der kan overtræde en såkaldt SOD-konflikt ved at tildele flere roller. Ud over brugernes evaluering er det vigtigt at vide, hvilke roller der i en kombination i sidste ende udløser konflikten. SAP transaktionen SUIM og dens API tillader kontrol af kombinationer af kritiske autorisationer.

Patch Management

SAP påvirkes i stigende grad af sikkerhedsbrud. Trusler, der i øjeblikket behandles i traditionel cybersikkerhed, gælder også for SAP systemer. Der er løbende publikationer af såkaldte SAP sikkerhedsnotater, men udfordringen for organisationer er at holde SAP systemerne opdaterede og anvende patches kontinuerligt. Dette er ikke altid muligt. Derfor forbliver mange SAP systemer ‘unpatched’ i lang tid og har således alvorlige sikkerhedshuller. For at gøre tingene værre, frigives oplysninger om, hvor sårbarhederne er, og hvordan de kan udnyttes nemt ved frigivelsen af ​​nye patches til programmet. Patching er ikke kun essentielt, men også påvisning af udnyttede sårbarheder – såkaldte zero-day exploits.

Transaktionsovervågning

SAP tilbyder et stort antal kritiske transaktioner og funktionelle moduler, der endda er tilgængelige eksternt. Det er muligt at oprette konti via SAP systemets API, udstyre dem med autorisationer og derefter bruge dem eksternt. Andre byggesten og funktionsmoduler kan derefter indlæse eller manipulere data fra SAP systemet. Endnu en gang spiller autorisationstildelingen en rolle, da den begrænser brugen af ​​transaktionerne. Det er også afgørende at overvåge udførelsen af ​​transaktioner i RFC moduler eller SAP rapporter kontinuerligt og gerne i realtid. Adgang til SAP systemer udefra via et SAP systems grænseflader f.eks. RFC-interface, skal også overvåges.

SAP kodesikkerhed

Kodesikkerhed er også en vigtig del af SAP sikkerheden. I SAP systemer overlades det ofte til udviklerne at sikre ABAP-kodens sikkerhed. Kodning samles i transporter og transporteres fra udviklingssystemerne til produktionssystemerne, ofte uden en tilstrækkelig undersøgelse af kodningen.
SAP giver også hackere interessante muligheder for kodeinjektion, da kodning endda kan genereres og udføres under udviklingen. Manipulationen af ​​vigtige og presserende transporter er kun en måde at transportere ondsindede programmer, der ikke er opdaget, ind i et SAP system. SAP giver en kodeinspektør med moduler som Code Vulnerability Analyzer til at kontrollere kodningen.

Systemindstillinger

Systemindstillinger er grundlaget for SAP security, og indstillingerne for SAP systemer er tilrige. Indstillinger udføres på databaseniveau af SAP transaktioner eller såkaldte SAP profilparametre, som er gemt i filer. Udrulningen af ​​et SAP system skal overholde et sæt regler for systemindstillinger, som findes i en SAP basis betjeningsvejledning. Her bestemmes det, hvordan sikkerhedsindstillingerne tildeles i et SAP system, hvordan adgang tildeles eller nægtes og hvilken kommunikation der er tilladt i SAP systemet. Operativsystemet, databasen og applikationslagene er relevante her. Hvert af disse lag kræver korrekt konfiguration af sikkerhedsindstillingerne. Desværre er disse ofte utilstrækkelige i et standard SAP system.

RFC konfiguration

RFC kommunikation er et vigtigt emne. RFC Gateway kan beskrives som den interne SAP firewall og skal konfigureres nøjagtigt (RegInfo, SecInfo) for at undgå uautoriseret udefrakommende adgange fra systemer og applikationer. SAP retningslinjer for bedste praksis eller retningslinjer fra SAP brugergrupper såsom DSAG indeholder praksis-testede og sikkerhedsorienterede indstillinger og testkataloger.

Hvorfor SAP systemer er særligt udsatte for cyberattacks

SAP security og læsbare adgangslogfiler

SAP security dækker også en række sikkerhedslogfiler. Disse skal tændes og styres på samme tid. De mest kritiske logfiler er SAP Security Audit Log (SM20), som indeholder et sæt sikkerhed og relevante audit hændelser. Change Logs (SCU3) for databasetabeller er tilgængelige og de såkaldte Change Documents of users and business objects (SCDO). SAP RFC Gateway-log SMGW bærer logfiler over RFC Gateway, logfiler fra SAP Internet Communication Manager og Web Dispatcher.

SAP-læseadgangsloggen gemmer læse- og skriveadgang til bestemte transaktionsfelter, rapporter eller programmer. Således leveres en væsentlig komponent til at opfylde forpligtelserne i henhold til EU’s Data Protection Regulation (GDPR eller DS-GVO) – logging af adgang til personlig data. Konfigurationen af ​​SAP Read Access Logs og deres evaluering er et væsentligt element i SAP Security Monitoring, ikke mindst i GDPR-tider. Med denne logs hjælp kan adgang til SAP overvåges, udvindes og indsamles centralt og i bedste fald automatisk overvåges med passende regler. SAP Read Access Log opretholdes via transaktionen SRALMANAGER.

SAP Security løsninger og værktøjer

Mens leverandøren leverer en SAP security løsning, integreres den ofte ikke med resten af ​​organisationens cybersikkerhedsovervågning. Dette skaber en blind plet for sikkerhedsteamet og øger cybertruslen fra interne og eksterne aktører.

Dette er grunden til at integrering af din SAP sikkerhedsovervågning i en centraliseret SIEM kan give betydeligt merværdi inden for cybersikkerhed, IT drift, system compliance og forretningsanalyse. Ideelt benytter disse platforme teknologier som UEBA (User Entity and Behavior Analytics) – for at få adfærdsmæssige indsigt ud over regelbaseret overvågning.

SAP security skal overvåges kontinuerligt og automatisk i SIEM løsninger. På et centralt punkt i virksomheden, integreret i IT sikkerhed, ideelt styret af Security Operations Centers (SOC), for at identificere trusler og reagere med det samme.

LogPoint for SAP infographic

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser