Christoph Aschauer, direktør, LogPoint for SAP

SAP er markedsførende inden for virksomhedsapplikationssoftware og bruges af 92 % af Forbes Global 2000-virksomheder. Det omfatter organisationer, der distribuerer 78 % af verdens fødevarer og 82 % af verdens medicinske udstyr. SAP-systemer indeholder store mængder følsomme personoplysninger i Enterprise Resource Planning, Human Capital Management, Sales, SRM og CRM samt andre moduler i systemet.

Et SAP-system kan på mange måder beskrives som bæreren af intellektuel ejendom og hemmeligheden bag succes for en organisation, som er grundlæggende for at levere sine produkter og tjenester. SAP er også et vigtigt værktøj inden for forretningsplanlægning, produktion i ERP, Product Lifecycle Management, Business Intelligence, Material Management og meget mere. Det understreger behovet for at beskytte SAP-systemer mod cyberangreb og cyberkriminelle.

På grund af den udbredte brug af SAP over hele verden og de følsomme data, den administrerer for organisationer på tværs af brancher, er det et attraktivt mål. Ved at analysere SAP-trusselvektorer og det tilhørende trusselaktørerlandskab er det tydeligt, at der er betydelig SAP-specifik domæneviden til rådighed, så cyberkriminelle kan angribe SAP-systemer på meget sofistikerede måder. Målrettet mod kronjuveler i store organisationer og potentielt ødelæggende kritiske infrastrukturer.

For at beskytte organisationer, der bruger SAP, er det vigtigt at forstå det grundlæggende i SAP-sikkerhed, dets svagheder, og hvordan man anvender en 360 graders holistisk tilgang til sikkerhed, herunder en moderne SAP SIEM.

Grundlæggende om SAP-sikkerhed

SAP Security har omfattende tilbud, der spænder over organisationer, processer, applikationer, underliggende systemer og IT/OT-miljø. Derfor er bevidsthed om SAP-sikkerhed afgørende samt etablering af sikkerhedsstyring. Det er med til at lægge fundamentet for strategier, politikker og standarder for SAP.  Når man taler om SAP-sikkerhed, er databeskyttelse og databeskyttelse kritiske emner. De er afgørende for at beskytte en organisations intellektuelle ejendom og for opfyldelsen af revisionskrav og overholdelse af myndighedskrav, såsom GDPR.

Og SAP Security dækker naturligvis funktioner som bruger- og identitetsstyring, adgangskontrol og autorisationer, kodesikkerhed, netværkssikkerhed, OS-sikkerhed, databasesikkerhed og slutpunkts-/klientsikkerhed.  Derudover er et andet element, der skal fastlægges, når man diskuterer SAP-sikkerhed, emner som f.eks. hærdning af SAP-systemer. “For en dybere introduktion til grundlæggende SAP-sikkerhed, se mit blogindlæg om grundlæggende SAP-sikkerhed.”

For at beskytte SAP-systemer korrekt er en holistisk tilgang påkrævet. Det betyder, at vi starter med at vurdere og etablere en SAP-sikkerhedsstyringsstrategi, der omfatter udarbejdelse af politikker og risikostyring. Derudover skal politikker og funktionsadskillelseskoncepter og compliance overvåges på baggrund af rapporter og i realtid. Endelig er overvågningen af adgangen til vigtige data såsom en organisations intellektuelle ejendom eller adgang til personoplysninger kritisk, da sikkerhedskoncepter til enhver tid kan omgås.

SAP leverer selv de mest almindelige SAP-sikkerhedsværktøjer: SAP Solution Manager og SAP Governance Risk and Compliance (SAP GRC). Større SAP-miljøer håndteres typisk ved hjælp af SAP Focused Run. SAP har også frigivet SAP Enterprise Threat Detection, der markedsføres som “”SAP SIEM”” for at opfylde kravet om at overvåge SAP-sikkerhedshændelser og -aktivitet i næsten realtid.

Teamets kløft

Historisk set er SAP-sikkerheden baseret på de værktøjer, som SAP selv leverer. Dette skyldes

SAP-sikkerhed har primært været centreret omkring identitetsstyring, adgangskontrol og autorisationer, der administreres af SAP-afdelingen. SAP-afdelingen er ofte en del af Financial-organisationen eller IT-driftsafdelingen. SAP-sikkerhed er sjældent et samarbejde med Cybersecurity-teamet om at håndtere sikkerheden i virksomhedens overordnede infrastruktur.

Organisationer har ofte svært ved at slå sig sammen med de to nøgleafdelinger, når det drejer sig om at forsvare deres mest værdifulde og sårbare aktiver. Mens cybersikkerhedsafdelinger mangler viden om SAP-sikkerhed, har SAP-afdelinger ofte en dybtgående mangel på grundlæggende viden om cybersikkerhed. Denne fundamentale fejl forstærkes, fordi de fleste SAP-kunder fortsat benytter sig af grundlæggende SAP-sikkerhedsværktøjer og ikke implementerer SAP Enterprise Threat Detection.

SAP Enterprise Threat Detection understøtter den tiltrængte overvågning af SAP-systemer med hensyn til compliance, systemindstillinger og systemaktivitet i næsten realtid. Alligevel er det kun med til at udvide kløften mellem SAP-sikkerhed og cybersikkerhed.

Hullet i cybersikkerheden

En SIEM-løsning, som udrulles af mange cybersikkerhedsteams, er det eneste system, hvor alle former for sikkerhedsrelevante oplysninger indsamles og analyseres i realtid. Den er designet til at modtage og analysere millioner af hændelser om dagen og identificere trusler baseret på foruddefinerede regler og uregelmæssigheder i brugeradfærd. En SIEM indsamler data fra alle typer netværksenheder, identitets- og adgangsstyringssystemer, slutpunkter, servere og databaser, IT-infrastruktur, operativsystemer og applikationer.

Til gengæld fokuserer SAP Enterprise Threat Detection udelukkende på overvågning af SAP-sikkerhedsinformation. Den understøtter ikke korrelationen af SAP-data og -hændelser med de data, der indsamles af SIEM i cybersikkerhedsteamet. Dette isolerer SAP-sikkerheden på et “Island of IT’s own”, hvilket skaber et hul mellem SAP-sikkerhed og cybersikkerhed, undlader at udnytte de afgørende, kontekstuelle sikkerhedsoplysninger fra den omgivende IT-infrastruktur og undlader at udnytte kompetencerne i cybersikkerhedsteamet.

Den siloopdelte sikkerhedsinformationsstruktur er en væsentlig vejspærring for en holistisk 360-graders tilgang til sikkerhed. Gabet bremser registrering og reaktion på cybersikkerhedshændelser og gør SAP-systemer sårbare over for cyberkriminelle, der udnytter gabet til at trænge ind i SAP-systemer. For at slå bro over kløften og understøtte et holistisk syn på sikkerhed kræves der moderne SAP SIEM-løsninger.

Den moderne SAP SIEM

Den moderne tilgang til SAP-sikkerhed er baseret på kombinationen af SAP-sikkerhedsoplysninger med kontekstuelle sikkerhedsoplysninger fra den omgivende IT-infrastruktur, der findes i SIEM.  SAP-sikkerhedsdata kombineres med disse data og cybersikkerhedsteamets kompetencer for at bygge bro og forbedre og fremskynde registrering og reaktion på hændelser.

Det gør det muligt for SAP-sikkerhedsteams at drage fordel af de avancerede analyser i SIEM-platforme, herunder User and Entity Behavior Analytics (UEBA), der supplerer den standardiserede regelbaserede tilgang (kendte trusler) med evnen til at registrere ukendte trusler og ukendt mistænkelig adfærd. For eksempel en meget privilegeret SAP-konto, der udfører en usædvanlig finansiel transaktion inden for de tilladte grænser som følge af et phishing-angreb.

Spørgsmålet er måske, hvordan en SIEM-analytiker i cybersikkerhedsteamet kan arbejde med SAP-sikkerhedsinformation? Næste generation af SAP SIEM understøtter kortlægning af identificerede trusler til standarden til MITRE ATT&CK-rammen, hvilket hjælper cybersikkerhedsanalytikeren med klart at forstå og afhjælpe angrebet. Den næste generation af SAP SIEM understøtter også playbooks til reaktion på hændelser, formalisering af reaktionsprocesser og mulighed for automatiseret afhjælpning.

Når det er sagt, vil der være behov for nye kompetencer, der kombinerer ekspertisen inden for SAP-sikkerhed og cybersikkerhed. Men integrationen af SAP i et SIEM er det eneste sted, hvor SAP-sikkerhed og cybersikkerhed kan mødes for at skabe et holistisk overblik og mere effektiv cybersikkerhed. Selvom avancerede analyser, MITRE ATT&CK-kortlægning og automatisering vil hjælpe, er der ingen tvivl om, at menneskelige kompetencer inden for SAP og cybersikkerhed vil være en meget efterspurgt færdighed i fremtiden. Nu er det tid til at komme i gang.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser