Organisasjoner som bruker SAP som forretningsapplikasjon eller ERP-system, lagrer ofte sine viktigste aktiva, inkludert immaterielle rettigheter, i SAP. Disse dataene må beskyttes mot uautorisert tilgang både utenfra og innenfra organisasjonen. SAP-systemer krever omfattende beskyttelse og sikkerhetsovervåking.

Hva er SAP-sikkerhet?

SAP (Systems Applications and Products)-sikkerhet er et hjelpemiddel for å beskytte bedriftens data og systemer ved å overvåke og kontrollere tilgang både internt og eksternt. SAP-systemer er en type ERP-programvare som brukes av alle slags virksomheter i mange forskjellige bransjer.

Det finnes ulike aspekter ved SAP-sikkerhet, for eksempel infrastruktursikkerhet, nettverkssikkerhet, operativsystemsikkerhet og databasesikkerhet. Et annet lag involverer sikkerhetskoden, som inkluderer å vedlikeholde SAP-kode og sikkerhet i egendefinert kode.

Et sikkert oppsett av SAP-servere er avgjørende for å holde bedriftens private informasjon trygg og beskyttet mot cyberangrep. Dette dekker sikker konfigurasjon av en server, aktivering av sikkerhetslogging, sikkerhet med tanke på systemkommunikasjon og datasikkerhet. Brukere og autorisasjoner overvåkes og spores også kritisk.

Elementer av SAP-sikkerhet

På grunn av SAP-systemenes kompliserte og sammenkoblede natur er det mye som skal til for å opprettholde sikkerheten. Her er en oversikt over de ulike aspektene som er involvert i SAP-sikkerhet:

  • Infrastruktursikkerhet
  • Nettverkssikkerhet
  • Operativsystemsikkerhet
  • Databasesikkerhet
  • Sikkerhetskode
  • Konfigurasjon av en server
  • Aktivering av sikkerhetslogging
  • Systemkommunikasjon

Når det gjøres effektivt, er det enkelt å opprettholde systemsamsvar ved hjelp av kontinuerlig overvåking, revisjoner og etablering av nødkonsepter.

Hva brukes SAP-sikkerhet til, og hvorfor er det viktig?

SAP-sikkerhet havner ofte i siloer eller er en blindsone i den sentraliserte overvåkingen av cybersikkerheten i en virksomhet. I og med at 66 % av bedriftsledere opplever at nettangrep øker i hyppighet over hele verden, er dette en alvorlig bekymring.

SAP-sikkerhet er utviklet som et mottiltak til angrep, for å bidra til å beskytte de forretningskritiske systemene som organisasjonene er avhengige av for å drive virksomheten effektivt.

De vanligste bruksområdene for SAP-sikkerhet er:

  • Unngå utnyttelse og svindel
  • Sikre dataintegritet
  • Identifisere uautorisert tilgang
  • Kontinuerlige og automatiserte revisjoner
  • Oppdage datalekkasjer
  • Sentralisert sikkerhetsovervåking

Et angrep på SAP-systemer kan ha en ødeleggende innvirkning på driften av virksomheten og føre til økonomiske tap, problemer med forsyningskjedene og langsiktig omdømmeskade.

For å forhindre slik hodepine må disse systemene beskyttes mot interne og eksterne cybertrusler. På den måten kan bedriften fortsette å opprettholde konfidensialitet, tilgjengelighet og integritet.

Til tross for dette er det mange organisasjoner som holder dem utenfor sikkerhetsteamenes rekkevidde, eller som kun benytter seg av ERP-leverandørens verktøy. Som forventet øker dette dramatisk risikoen for angrep og gjør ERP-systemer, som SAP, til et viktig mål for inntrengere.

Hvordan fungerer SAP-sikkerhet?

Da SAP-systemer kobler sammen ulike avdelinger og programmer for å hjelpe deg med å drive virksomheten din på en smidig måte, er de utrolig kompliserte. Siden de er så komplekse og unike av natur, gjør dette det vanskeligere å utvikle riktige tiltak for cybersikkerhet.

I henhold til en studie fra University of Maryland forekommer forsøk på cyberangrep mot systemer hvert 39. sekund, så det er  viktig å beskytte dem.

Når det gjelder SAP-sikkerhet, er det flere ting du kan gjøre for å forhindre angrep:

Roller og autorisasjoner

For det første leverer SAP-systemene dine nødvendige autorisasjoner som standard. Kundespesifikke autorisasjonskonsepter er konfigurert i SAP, slik at det er mulig å tildele nødvendige tillatelser. Tildelingen av autorisasjonskombinasjoner (arbeidsdeling, SOD) er kritisk.

Tildeling av kritiske kombinasjoner av autorisasjoner bør unngås og bare brukes eller tildeles i unntakstilfeller, for eksempel med såkalte brannmannskontoer. En annen komplikasjon innen SAP-sikkerhet er at autorisasjoner og roller kan manipuleres i SAP med SAP-standardmetoder.

Derfor er det avgjørende å undersøke nødvendige autorisasjoner og autorisasjonskombinasjoner, noe som gir selskaper betydelige utfordringer. Det er også viktig å foreta kontinuerlige, automatiserte gjennomganger av SAP-autorisasjoner.

Du kan enkelt utføre disse kontrollene ved hjelp av en testkatalog. Å opprette en slik fra bunnen av krever innsats og er ikke bare relevant for autorisasjonene i SAP Basis-området, men også for forretningsprosessene. Si for eksempel at 4–6 øyne-prinsippene undergraves ved tildeling av nødvendige tillatelser og kombinasjoner av tillatelser. I så fall er det fare for utnyttelse eller svindel.

SOD-kontroller utføres ideelt sett ikke bare i henhold til SAP-roller, men i henhold til brukere som kan bryte en såkalt SOD-konflikt ved å tildele flere roller. I tillegg til brukernes evaluering bør du vite hvilke roller som til slutt utløser konflikten i kombinasjon. SAP-transaksjonen SUIM og dens API tillater kontroll av kombinasjoner av kritiske autorisasjoner.

Administrasjon av oppdateringer

SAP blir i økende grad rammet av sikkerhetsbrudd. Trusler som for tiden håndteres innen tradisjonell cybersikkerhet, gjelder også for SAP-systemer. Det finnes kontinuerlige publikasjoner av såkalte SAP Security Notes, men utfordringen for organisasjoner er å holde SAP-systemene oppdatert og ta i bruk oppdateringene kontinuerlig.

Dessverre er det ikke alltid mulig.

Derfor er mange SAP-systemer fremdeles ikke oppdatert og ender opp med alvorlige sikkerhetshull. Det som gjør ting verre, er at det med lanseringen av nye oppdateringer blir gitt informasjon om hvor sårbarhetene er og hvordan de kan utnyttes. Det er ikke bare oppdatering som er helt nødvendig, men også påvisning av utnyttede sårbarheter, såkalte zero-day exploits.

Transaksjonsovervåking

SAP tilbyr også et stort antall kritiske transaksjoner og funksjonelle moduler som også er tilgjengelige eksternt. Det betyr også at det er mulig å opprette kontoer via SAP-systemets API, utstyre dem med autorisasjoner og deretter bruke dem eksternt. Andre byggeklosser og funksjonsmoduler kan deretter laste eller manipulere data fra SAP-systemet.

Nok en gang spiller autorisasjonstildelingen en rolle her, da det begrenser bruken av transaksjonene. Derfor er det viktig at du overvåker gjennomføringen av transaksjoner, RFC-moduler eller SAP-rapporter kontinuerlig og i sanntid. Tilgang til SAP-systemer utenfra via grensesnittene til et SAP-system, for eksempel RFC-grensesnittet, må også overvåkes.

SAP-kodesikkerhet

Neste trinn er kodesikkerhet, en viktig del av SAP-sikkerheten. I SAP-systemer blir det ofte overlatt til utviklerne å sikre ABAP-kodens sikkerhet. Kodingen settes sammen i transporter og transporteres fra utviklingssystemene til produksjonssystemene, men ofte gjøres det uten tilstrekkelig kontroll av kodingen.

Det som er enda verre, er at SAP gir angripere alternativer for kodeinjeksjon, siden koding til og med kan genereres og utføres under kjøring. Manipulering av viktige og presserende transporter er bare én måte å transportere ondsinnede programmer inn i et SAP-system på, helt uoppdaget. Heldigvis tilbyr SAP en kodeinspektør med moduler som kodesårbarhetsanalysatoren for å kontrollere kodingen.

Systeminnstillinger

Systeminnstillingene dine er grunnlaget for SAP-sikkerhet, og det finnes en rekke innstillingsalternativer i SAP-systemene. Innstillingene gjøres på databasenivå av SAP-transaksjoner, eller såkalte SAP-profilparametere, som lagres i filer.  Utrullingen av et SAP-system må være i samsvar med et sett med regler for systeminnstillinger, som finnes i en SAP Basis-driftshåndbok.

Her er det bestemt hvordan sikkerhetsinnstillingene tildeles i et SAP-system, hvordan tilgang gis eller nektes, og hvilken kommunikasjon i et SAP-system som tillates. Her er operativsystemet, databasen og applikasjonslagene relevante. Hvert av disse lagene krever riktig konfigurering av sikkerhetsinnstillingene.

Dessverre er disse ofte utilstrekkelige i standard SAP-system. I mange bedrifter er for eksempel bare 5 % av mappene godt beskyttet.

RFC-konfigurasjon

RFC Gateway kan beskrives som SAPs interne brannmur og må konfigureres nøyaktig (RegInfo, SecInfo), for å unngå uautorisert ekstern tilgang fra systemer og applikasjoner.

SAPs retningslinjer for beste praksis, eller retningslinjer fra SAP-brukergrupper som DSAG, inneholder praksistestede og sikkerhetsorienterte innstillinger og testkataloger.

SAP-sikkerhet og lesetilgangslogger

SAP-sikkerhet dekker også en rekke sikkerhetslogger. Disse må slås på og kontrolleres samtidig.

De mest kritiske loggene er SAP Security Audit Log (SM20), som inneholder et sett med sikkerhets- og revisjonsrelevante hendelser. Endringslogger (SCU3) for databasetabeller er tilgjengelige, og såkalte endringsdokumenter for brukere og forretningsobjekter (SCDO). SAP RFC Gateway Log SMGW fører logger for RFC Gateway, logger for SAP Internet Communication Manager og Web Dispatcher.

SAP Read Access Log lagrer lese- og skrivetilgang til spesifikke felt for transaksjoner, rapporter eller programmer. Dette er en viktig komponent for å oppfylle forpliktelsene i EUs personvernforordning (GDPR eller DS-GVO) – logging av tilgang til personopplysninger. 

Konfigurasjonen av SAP Read-Access-loggene og evalueringen av dem er en viktig del av SAP-sikkerhetsovervåking, ikke minst i forbindelse med GDPR. Med denne loggens hjelp kan tilgangen til SAP overvåkes, trekkes ut og samles inn sentralt, og i beste fall overvåkes automatisk med egnede regler. SAP Read Access Log vedlikeholdes via transaksjonen SRALMANAGER.

Beste praksis for SAP-sikkerhet

Med så mye risiko og så mye å organisere kan det virke utrolig krevende å få på plass en plan. Her er en rask og enkel sjekkliste for å hjelpe deg i gang hvis du ønsker å forbedre SAP-sikkerheten.

For å holde dataene dine sikre må du gjennomføre en rekke forskjellige evalueringer:

  • Intern vurdering av adgangskontroll
  • Vurdering av endrings- og transportprosedyrer
  • Vurdering av nettverksinnstillinger og landskapsarkitektur
  • Vurdering av OS-sikkerhet
  • Vurdering av DBMS-sikkerhet
  • Vurdering av SAP NetWeaver-sikkerhet
  • Vurdering av ulike SAP-komponenter (som SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router, SAP GUI)
  • Vurdering av samsvar med standardene til SAP, ISACA, DSAG og OWASP

Etter å ha gjort disse vurderingene, er det fortsatt noen flere trinn du må utføre. Med en plan på plass vil du ligge langt foran de fleste bedrifter – og cyberangrep. Her er en enkel 4-trinns prosess for å komme i gang, slik at du kan overvåke SAP-sikkerheten din:

  1. Juster innstillingene: Sørg for at alle innstillingene er konfigurert i tråd med organisasjonsstrukturen. Du bør også utdanne teamene dine og dobbeltsjekke at alle sikkerhetstiltakene blir fulgt.
  2. Opprette nødprosedyrer: I en nødssituasjon bør du ha en plan på plass for rask og effektiv håndtering. For det første bør du være sikker på at nettverksadministratorene enkelt kan tilbakekalle tilgang og privilegier etter behov.
  3. Utføre renhold og evaluering: For det andre bør du alltid overvåke SAP-systemene. Sørg også for at tillatelseslisten oppdateres regelmessig, spesielt når du har nyansatte eller ansatte som bytter roller.
  4. Bruk sikkerhetsverktøy: Til slutt er det viktig å ha de riktige sikkerhetsverktøyene på plass for å holde øye med hva som skjer og fange opp mistenkelig aktivitet. På den måten kan du lettere forhindre at det forekommer et cyberangrep eller databrudd.

SAP-sikkerhetsløsninger og -verktøy

Ser du etter den riktige SAP-sikkerhetsprogramvaren? Det er vanskelig å vite hvor man skal lete og hvem man skal stole på – spesielt når det gjelder noe så viktig.

Selv om leverandøren teknisk sett leverer en SAP-sikkerhetsløsning, integreres den ofte ikke med resten av organisasjonens cybersikkerhetsovervåking. Dette skaper en blindsone for sikkerhetsteamet og øker cybertrusselen fra interne og eksterne kilder.

Derfor kan integrering av SAP-sikkerhetsovervåking i en sentralisert SIEM gi betydelig merverdi til cybersikkerheten din, IT-driften, systemsamsvaret og forretningsanalyser Ideelt sett bruker disse plattformene teknologier som UEBA (User Entity and Behavior Analytics) for å få atferdsmessig innsikt i tillegg til regelbasert overvåking.

SAP-sikkerhet må overvåkes kontinuerlig og automatisk i SIEM-løsninger. Dette skal skje på et sentralt punkt i selskapet, integrert i IT-sikkerheten, helst administrert av Security Operations Centers (SOC), for å identifisere trusler og reagere umiddelbart.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser