Organisationer, der bruger SAP som deres forretningsapplikation eller ERP-system, lagrer ofte deres mest kritiske aktiver, herunder immaterielle rettigheder, i SAP. Disse data skal beskyttes mod uautoriseret adgang både udefra og internt i organisationen. SAP-systemer kræver omfattende beskyttelses- og sikkerhedsovervågning.

Hvad er SAP-sikkerhed?

SAP-sikkerhed (Systems Applications and Products) er et middel til at beskytte din virksomheds data og systemer ved at overvåge og kontrollere adgangen både internt og eksternt. SAP-systemer er en type ERP-software, der anvendes i vid udstrækning af alle typer virksomheder i mange forskellige brancher.

Der er forskellige aspekter af SAP-sikkerhed, f.eks. infrastruktursikkerhed, netværkssikkerhed, operativsystemsikkerhed og databasesikkerhed. Et andet lag involverer sikker kode, som omfatter vedligeholdelse af SAP-kode og sikkerheden af brugerdefineret kode.

En sikker opsætning af SAP-servere er afgørende for at holde din virksomheds private oplysninger sikre og utilgængelige for cyberangribere. Opsætningen omhandler sikker konfiguration af en server, aktivering af sikkerhedslogning, sikkerhed i systemkommunikation og datasikkerhed. Brugere og autorisationer overvåges og spores også kritisk.

Elementer i SAP-sikkerhed

Som følge af SAP-systemernes komplicerede og indbyrdes forbundne karakter kræver det meget at opretholde systemernes sikkerhed. Nedenfor ses en oversigt over de forskellige aspekter, der er involveret i forbindelse med SAP-sikkerhed:

  • Infrastruktursikkerhed
  • Netværkssikkerhed
  • Operativsystemsikkerhed
  • Databasesikkerhed
  • Sikker kode
  • Konfiguration af en server
  • Aktivering af sikkerhedslogning
  • Systemkommunikation

Når det gøres effektivt, er det nemt at opretholde systemets compliance ved hjælp af løbende overvågning, auditeringer og etablering af nødkoncepter.

Hvad bruges SAP Security til, og hvorfor er det vigtigt?

SAP-sikkerheden er ofte siloopdelt eller en blind vinkel inden for den centrale cybersikkerhedsovervågning i en virksomhed. Eftersom 66 % af virksomhedslederne er af den overbevisning, at antallet af cyberangreb stiger rundt omkring i verden, er det et alvorligt problem.

Som modforanstaltning til disse angreb er SAP-sikkerhed designet til at hjælpe med at beskytte de forretningskritiske systemer, som organisationer er afhængige af til at drive deres forretning effektivt.

De mest almindelige anvendelser af SAP-sikkerhed er:

  • Undgå udnyttelse og bedrageri
  • Sikre dataintegritet
  • Identificere uautoriseret adgang
  • Levere kontinuerlige og automatiserede auditeringer
  • Detektere datalækager
  • Centralisere sikkerhedsovervågningen

Et angreb på SAP-systemer kan have en katastrofal indvirkning på virksomhedens drift og resultere i økonomiske tab og problemer med forsyningskæden samt gøre langvarig skade på omdømmet.

For at undgå sådanne bekymringer skal disse systemer beskyttes mod interne og eksterne cybertrusler. På den måde kan din virksomhed opretholde fortroligheden, tilgængeligheden og integriteten.

Alligevel undlader organisationer at lade deres sikkerhedsteams tage hånd om systemerne, eller også sætter de udelukkende deres lid til værktøjerne fra ERP-leverandøren. Som forventeligt øger det markant risikoen for angreb og gør ERP-systemer,såsom SAP, til modstandernes primære mål.

Hvordan fungerer SAP-sikkerhed?

SAP-systemer forbinder forskellige afdelinger og programmer for at hjælpe dig med at drive din virksomhed problemfrit, og de er derfor utroligt komplicerede. Da de er så komplekse og unikke af natur, gør det det sværere at udvikle ordentlige cybersikkerhedsforanstaltninger.

Og med cyberkriminelle, der forsøger at angribe systemer hvert 39. sekund ifølge en undersøgelse fra University of Maryland, er det afgørende, at systemerne er beskyttet.

Inden for SAP-sikkerhed er der flere tiltag, du kan træffe for at forhindre angreb:

Roller og autorisationer

For det første leverer dine SAP-systemer de nødvendige autorisationer som standard. I SAP opsættes kundespecifikke autorisationskoncepter, der giver mulighed for at tildele vigtige tilladelser. Tildelingen af kombinationer af autorisationer (Segregation of Duties, SOD) er kritisk.

Tildelingen af kritiske kombinationer af autorisationer bør undgås og kun anvendes eller tildeles i undtagelsestilfælde, f.eks. med såkaldte brandslukningskonti. En yderligere komplikation i SAP-sikkerheden er, at autorisationer og roller kan manipuleres i SAP med SAP-standardmetoder.

Derfor er det afgørende at undersøge nødvendige autorisationer og autorisationskombinationer, hvilket stiller virksomhederne over for betydelige udfordringer. Det er også vigtigt at foretage løbende, automatiserede gennemgange af SAP-autorisationer.

Du kan nemt udføre disse kontroller ved hjælp af et testkatalog. Det kræver dog en indsats at udvikle dette fra bunden og er ikke kun relevant for autorisationerne i SAP Basis-området, men også for forretningsprocesserne. Antag, at 4-6 vigtige principper undermineres af tildelingen af nødvendige tilladelser og kombinationer af tilladelserne. I så fald er der risiko for udnyttelse eller bedrageri.

SOD-tjek udføres ideelt ikke kun i henhold til SAP-roller, men også i henhold til brugere, der kan overtræde en såkaldt SOD-konflikt ved at tildele flere roller. Ud over brugernes evaluering bør du vide, hvilke roller der i kombination udløser konflikten i sidste ende. SAP-transaktionen SUIM og den tilhørende API tillader kontrol af kombinationer af kritiske autorisationer.

Styring af patches

SAP bliver i stigende grad påvirket af sikkerhedsbrud. Trusler, der i dag håndteres inden for traditionel cybersikkerhed, gælder også for SAP-systemer. Der udgives løbende såkaldte SAP Security Notes, men udfordringen for organisationer er dog at holde SAP-systemerne opdaterede og anvende programpatchene løbende.

Desværre er det ikke altid muligt.

Mange SAP-systemer forbliver derfor unpatched i lang tid og ender med alvorlige sikkerhedsmangler. For at gøre det hele værre, frigives der med udgivelsen af nye patches information om, hvor sårbarhederne er, og hvordan de kan udnyttes. Det er ikke kun patching, der spiller en afgørende rolle. Detektionen af udnyttede sårbarheder, såkaldte zero-day-udnyttelser, er også vigtig.

Transaktionsovervågning

SAP tilbyder også en lang række kritiske transaktioner og funktionsmoduler, der også er tilgængelige via fjernadgang. Det betyder også, at det er muligt at oprette konti via SAP-systemets API, udstyre dem med autorisationer og derefter bruge dem eksternt. Andre byggeklodser og funktionsmoduler kan derefter indlæse eller manipulere data fra SAP-systemet.

Igen spiller tildelingen af autorisationer en rolle, da det begrænser anvendelsen af transaktionerne. Derfor er det vigtigt, at du overvåger udførelsen af transaktioner, RFC-moduler eller SAP-rapporter løbende og i realtid. Adgang til SAP-systemer udefra via et SAP-systems grænseflader, f.eks. RFC-grænsefladen, skal også overvåges.

SAP-kodesikkerhed

Dernæst er kodesikkerheden en vigtig del af din SAP-sikkerhed. I SAP-systemer er det ofte overladt til udviklerne at sikre ABAP-kodens sikkerhed. Kodning sættes sammen i transporter og transporteres fra udviklingssystemerne til produktionssystemerne, men ofte sker det uden en tilstrækkelig undersøgelse af kodningen.

Det er dog endnu værre, at SAP tilbyder angriberne muligheder for kodeinjektion, da kodningen endda kan genereres og udføres ved runtime. Manipulation af vigtige og akutte transporter er blot én måde at transportere skadelige programmer helt uopdaget ind i et SAP-system på. Heldigvis tilbyder SAP en kodeinspektør med moduler såsom Code Vulnerability Analyzer, der kontrollerer kodningen.

Systemindstillinger

Dine systemindstillinger danner grundlag for SAP-sikkerheden, og der er adskillige indstillingsmuligheder i SAP-systemer. Indstillingerne foretages på databaseniveau af SAP-transaktioner, eller såkaldte SAP-profilparametre, som gemmes i filer.  Udrulningen af et SAP-system skal overholde et sæt regler for systemindstillinger, som findes i en SAP Basis-betjeningsvejledning.

Her bestemmes, hvordan sikkerhedsindstillingerne tildeles i et SAP-system, hvordan der gives eller nægtes adgang, og hvilken kommunikation der er tilladt i et SAP-system. Her er operativsystemet, databasen og applikationslagene relevante. Hvert af disse lag kræver korrekt konfiguration af sikkerhedsindstillingerne.

Desværre er disse ofte utilstrækkelige i SAP-standardsystemet. I mange virksomheder er kun 5 % af alle mapper korrekt beskyttet.

RFC-konfiguration

RFC-gatewayen kan beskrives som den SAP-interne firewall og skal konfigureres præcist (RegInfo, SecInfo) for at undgå uautoriseret fjernadgang fra systemer og applikationer.

SAP best practice-retningslinjer eller retningsliner fra SAP-brugergrupper som DSAG indeholder sikkerhedsorienterede indstillinger og testkataloger, der er afprøvet i praksis.

SAP-sikkerheds- og læseadgangslogge

SAP-sikkerhed dækker også en række sikkerhedslogge. De skal aktiveres og styres på samme tid.

De mest kritiske logge er SAP Security Audit Log (SM20), som indeholder et sæt sikkerheds- og auditeringsrelevante hændelser. Change Logs (SCU3) af databasetabeller er tilgængelige og de såkaldte Change Documents for brugere og forretningsobjekter (SCDO). SAP RFC Gateway Log SMGW indeholder logge for RFC-gatewayen, logge for SAP Internet Communication Manager og Web Dispatcher.

SAP-læseadgangsloggen lagrer læse- og skriveadgang til specifikke felter i transaktioner, rapporter eller programmer. På den måde tilvejebringes en væsentlig komponent til opfyldelse af forpligtelserne i EU’s databeskyttelsesforordning (GDPR eller DS-GVO) – logning af adgang til personoplysninger. 

Konfigurationen af SAP-læseadgangslogge og deres evaluering er et væsentligt element i SAP-sikkerhedsovervågningen, ikke mindst i denne GDPR-tid. Ved hjælp af denne log kan adgangen til SAP overvåges, udtrækkes og indsamles centralt, og i bedste fald overvåges automatisk med passende regler. SAP-læseadgangsloggen vedligeholdes via transaktionen SRALMANAGER.

Bedste praksis inden for SAP-sikkerhed

De mange risici og mængden af organisering gør det overvældende at få en plan sat i værk. Her er en hurtig og nem tjekliste, der kan hjælpe dig med at komme i gang, hvis du vil forbedre din SAP-sikkerhed.

Du skal foretage en række forskellige vurderinger for at holde dine data sikre:

  • Intern vurdering af adgangskontrol
  • Vurdering af ændrings- og transportprocedure
  • Vurdering af netværksindstillinger og landskabsarkitektur
  • Vurdering af OS-sikkerheden
  • Vurdering af DBMS-sikkerheden
  • Vurdering af SAP NetWeaver-sikkerheden
  • Vurdering af forskellige SAP-komponenter (såsom SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router og SAP GUI).
  • Vurdering af compliance i forbindelse med SAP-, ISACA-, DSAG- og OWASP-standarder

Når du har foretaget disse vurderinger, er der stadig nogle tiltag, du bør træffe. Når planen er på plads, vil du være langt foran de fleste virksomheder – og cyberkriminelle. Her er en nem proces i fire trin, så du kan komme i gang med at overvåge din SAP-sikkerhed:

  1. Tilpas indstillingerne: Sørg for, at indstillingerne er konfigureret, så de passer til organisationens struktur. Du bør også uddanne dine teams og dobbelttjekke, at alle etablerede sikkerhedsforanstaltninger bliver fulgt.
  2. Opret nødprocedurer: Hvis der opstår en nødsituation, bør du have en plan klar til at håndtere den hurtigt og effektivt. For det første skal du være sikker på, at netværksadministratorerne nemt kan tilbagekalde adgang og rettigheder efter behov.
  3. Foretag oprydning og gennemgang: Derefter skal du altid overvåge SAP-systemerne. Sørg også for, at listen over tilladelser opdateres regelmæssigt, især når du har nye medarbejdere eller medarbejdere, der skifter rolle.
  4. Brug sikkerhedsværktøjer: Endelig er det afgørende at have de rigtige sikkerhedsværktøjer for at holde styr på, hvad der sker, og fange mistænkelige aktiviteter. På den måde kan du nemmere forhindre cyberangreb eller brud på datasikkerheden.

SAP-sikkerhedsløsninger og -værktøjer

Leder du efter den rigtige SAP-sikkerhedssoftware? Det er svært at vide, hvor man skal kigge, og hvem man skal stole på – især med noget, der er så vigtigt.

Selvom leverandøren teknisk set leverer en SAP-sikkerhedsløsning, kan den ofte ikke integreres med resten af organisationens cybersikkerhedsovervågning. Det skaber en blind vinkel for sikkerhedsteamet og øger cybertruslen fra interne og eksterne aktører.

Derfor kan integration af din SAP-sikkerhedsovervågning med en centraliseret SIEM i betydelig grad tilføre værdi til din cybersikkerhed, IT-drift, systemcompliance og forretningsanalyse. Ideelt set bruger disse platforme UEBA (User Entity and Behavior Analytics) til at få adfærdsindsigt samt levere regelbaseret overvågning.

SAP-sikkerheden skal overvåges løbende og automatisk i SIEM-løsninger. På et centralt sted i virksomheden, integreret i IT-sikkerheden og helst styret af et  Security Operations Center (SOC) for at kunne identificere trusler og reagere øjeblikkeligt.

 

Kontakt Logpoint

Kontakt os og hør, hvorfor brancheførende virksomheder vælger Logpoint:

Kontakt Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews