af Sükrü ilkel Birakoglu, Senior Director 

Forretningskritiske systemer indeholder et væld af forretningskritiske data vedrørende forsyningskæder og styring af produkters livscyklus blandt en lang række andre databaser. Når SAP kobles fra andre sikkerhedssystemer, og synligheden er begrænset eller ikke-eksisterende, kulminerer det med en lang række problemer, herunder insidertrusler.

En af de største trusler, hvis ikke den største, er naturligvis udefra, hvilket gør behovet for et SAP-system, der er fuldt beskyttet, altafgørende. Så hvordan beskytter du adgangskoder og adgang til adgangskoder til SAP-systemer. Et godt sted at starte er at forstå, hvordan de tilgås – hvordan logger en SAP-bruger ind, hvad sker der så, og hvordan får en indtrængende adgang til disse adgangskoder?

Hvorfor er SAP-systemer mål for cyberangreb og hvordan logger brugerne sikkert ind?

Et SAP-system er kort og godt en guldgrube af data. SAP er et integreret forretningssystem, der understøtter en virksomheds mest kritiske forretningsprocesser, og i de fleste tilfælde er det integreret med andre forretningsløsninger. Derfor indeholder SAP-systemer en enorm mængde følsomme forretningsdata. Disse egenskaber ved SAP-systemer og SAP-databaser gør dem til et mål for sikkerhedsbrud med det formål at få adgang til følsomme oplysninger og udføre svigagtige aktiviteter.

Som med alle andre systemer har brugerne logons og adgangskoder. SAP har Secure Login, som er en innovativ softwareløsning, der er specielt udviklet til at forbedre bruger- og IT-produktiviteten og til at beskytte forretningskritiske data i SAP-forretningsløsninger ved hjælp af sikker enkeltlogon til SAP-miljøet.

SAP-brugeren kan logge på et SAP-system via SAP GUI (grafisk brugergrænseflade) med enkeltlogon eller med en kombination af brugernavn/adgangskode. Disse adgangskodehashes gemmes derefter i brugermastertabeller i databasen i et SAP-system. En indtrængende person, der har adgang til adgangskodehashes, kan knække særligt svage eller genererede adgangskoder ved hjælp af ordbogsangreb eller kollisionsangrebsteknikker. Det rejser et vigtigt spørgsmål.

Hvordan omgår en indtrængende person SAP’s adgangskontrolmekanismer for at få adgang til adgangskodehashes?

Den første måde at få adgang til adgangskoder på i et SAP-produktionssystem er at gennemse databasetabeller ved hjælp af transaktionen SE16, især hvis der ikke er etableret passende adgangskontroller til tabeller. Adgang til følsomme adgangskoder og forretningsdata kan forhindres ved at tildele passende autorisationsgrupper til databasetabeller. Dette er desværre ikke tilfældet i mange SAP-implementeringer, og alt for mange brugere har adgang til databasetabeller med følsomme data. Adgangskodehashes kan blive vist og downloades via transaktionen SE16.

Muligheden for at fejlfinde programmer i produktionsmiljøer er en anden måde at få adgang til adgangskodehashes på. Fejlfindingstilstand gør det muligt at se på de værdier, der behandles, og på den måde få adgang til adgangskodehashes. Kørsel af en grundlæggende rapport, såsom RSUSR200–List of Users According to Logon Date og Password Change, som læser en tabel, der indeholder brugerrelaterede data, kan være tilstrækkelig til at få adgang til en hash i fejlfindingstilstand.

Der er mange andre måder at indhente adgangskodehashes og følsomme forretningsoplysninger på, såsom at oprette forbindelse til SAP-systemer fra eksterne programmer ved hjælp af RFC-aktiverede funktionsmoduler eller at få adgang til en database i et SAP-system direkte ved hjælp af databaseconnectors.

Logpoint SIEM’s rolle i beskyttelsen af dine SAP-systemer

Det er afgørende at fange uautoriseret adgang til kritiske databasetabeller, kørsel af kritiske programmer eller fejlfinding i produktionssystemer i realtid og korrelere dem med andre sikkerhedsrelaterede hændelser og vise alarmer i et integreret SIEM-værktøj (sikkerhedsinformation og hændelsesstyring). Typisk er SAP-systemer frakoblet IT-sikkerhedsovervågningen. Det betyder, at SAP-data ikke bliver korreleret med andre hændelser i IT-netværket, og denne mangel på integration skaber et alvorligt sikkerhedsbrist, der kun kan løses ved at bringe SAP-data ind i den centrale overvågningsløsning.

Ved at sammenlægge BCS til SAP- og SIEM-teknologier slår vi bro over sikkerhedskløften ved at integrere SAP-sikkerhed i SIEM. Her bliver data korreleret med andre hændelser i IT-netværket, hvilket giver kontekstuel indsigt og leverer fuld synlighed over trusler i hele landskabet. 

Du kan få flere oplysninger om vores SAP Security Monitoring-løsninger på vores hjemmeside og downloade vores BCS til SAP-brochure ved hjælp af dette link.

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint