Christoph Aschauer, Director, LogPoint for SAP

SAP er markedsledende innen bedriftsprogramvare og brukes av 92 % av Forbes Global 2000-selskapene. Dette inkluderer organisasjoner som distribuerer 78 % av verdens mat og 82 % av verdens medisinske utstyr. SAP-systemer inneholder store mengder sensitive personopplysninger i Enterprise Resource Planning, Human Capital Management, Sales, SRM og CRM, samt andre moduler i systemet.

På mange måter kan et SAP-system beskrives som en leverandør av immaterielle rettigheter og hemmelighetene bak suksess for en organisasjon, som er grunnleggende for å levere sine produkter og tjenester. SAP er også et viktig verktøy i forretningsplanlegging, produksjon i ERP, Product Lifecycle Management, Business Intelligence, Material Management med mer. Dette understreker behovet for å beskytte SAP-systemer mot cyberangrep og cyberkriminelle.

På grunn av den utbredte bruken av SAP rundt om i verden og de sensitive dataene den håndterer for organisasjoner på tvers av bransjer, er dette et attraktivt mål. Det er tydelig at SAP-spesifikk domenekunnskap er tilgjengelig, slik at nettkriminelle kan angripe SAP-systemer på svært sofistikerte måter. Retter seg mot kronjuvelene i store organisasjoner og potensielt forstyrrende kritiske infrastrukturer.

For å beskytte organisasjoner som bruker SAP er det viktig å forstå det grunnleggende ved SAP-sikkerhet, dens svakheter og hvordan man bruker en 360-graders, helhetlig tilnærming til sikkerhet, inkludert en moderne SAP SIEM.

Grunnleggende om SAP-sikkerhet

SAP Security har et stort utvalg av organisasjoner, prosesser, applikasjoner, underliggende systemer og IT/OT-miljøer. Derfor er bevissthet om SAP-sikkerhet viktig, samt etablering av sikkerhetsstyring. Dette bidrar til å etablere grunnlaget for strategier, policyer og standarder for SAP.  Når du diskuterer SAP-sikkerhet, er databeskyttelse og personvern viktige emner. De er avgjørende for å beskytte en organisasjons immaterielle rettigheter og oppfylle revisjonskrav og overholdelse av regelverk, som f.eks. GDPR.

SAP Security dekker selvsagt funksjoner som bruker- og identitetsadministrasjon, tilgangskontroll og autorisasjoner, kodesikkerhet, nettverkssikkerhet, OS-sikkerhet, databasesikkerhet og endepunkt-/klientsikkerhet.  I tillegg må det etableres et annet element når man diskuterer SAP-sikkerhet, for eksempel når SAP-systemene blir harde. “For en dypere innføring i grunnleggende SAP-sikkerhet, se mitt blogginnlegg om grunnleggende SAP-sikkerhet.”

Det kreves en helhetlig tilnærming for å beskytte SAP-systemene på riktig måte. Dette betyr å starte med å vurdere og etablere en SAP-strategi for sikkerhetsstyring som inkluderer oppretting av policyer og risikostyring. I tillegg må policyer og skille mellom ansvarskonsepter og samsvar overvåkes basert på rapporter og i sanntid. Til slutt er overvåking av tilgangen til viktige data, som organisasjonens immaterielle rettigheter eller tilgang til personopplysninger, kritisk fordi sikkerhetskonsepter kan omgås når som helst.

SAP i seg selv inneholder de vanligste SAP-sikkerhetsverktøyene: SAP Solution Manager og SAP Governance Risk and Compliance (SAP GRC). Større SAP-miljøer styres vanligvis ved hjelp av SAP Focused Run. SAP har også lansert SAP Enterprise Threat Detection, promotert som “”SAP SIEM”” for å tilfredsstille behovet for å overvåke SAP-sikkerhetshendelser og -aktivitet i tilnærmet sanntid.

Teamets gap

Historisk er SAP-sikkerhet basert på verktøyene fra SAP. Det er fordi

SAP-sikkerhet har hovedsakelig vært sentrert rundt identitetsadministrasjon, tilgangskontroll og autorisasjoner som administreres av SAP-avdelingen. SAP-avdelingen er ofte en del av finansorganisasjonen eller IT-driftsavdelingen. SAP-sikkerhet er sjelden et samarbeid med Cybersecurity-teamet, som håndterer sikkerheten i hele bedriftens infrastruktur.

Organisasjoner mislykkes ofte i å forene kreftene til disse to viktige avdelingene for å forsvare sine mest verdifulle og sårbare aktiva. Selv om Cybersecurity-avdelinger mangler kunnskap om SAP-sikkerhet, mangler SAP-avdelinger ofte grunnleggende kunnskap om cybersikkerhet. Denne grunnleggende feilen forsterkes fordi de fleste SAP-kunder fortsetter å stole på grunnleggende SAP-sikkerhetsverktøy og ikke bruker SAP Enterprise Threat Detection.

SAP Enterprise Threat Detection støtter sårt tiltrengt overvåking av SAP-systemer når det gjelder samsvar, systeminnstillinger og systemaktivitet i tilnærmet sanntid. Likevel brukes den bare til å utvide gapet mellom SAP-sikkerhet og nettsikkerhet.

Nettsikkerhetsgapet

En SIEM-løsning, som er distribuert av mange cybersikkerhetsteam, er et enkelt system der alle typer sikkerhetsrelevant informasjon samles inn og analyseres i sanntid. Den er utviklet for å motta og analysere millioner av hendelser per dag og identifisere trusler basert på forhåndsdefinerte regler og avvik i brukeratferd. En SIEM samler inn data fra alle typer nettverksenheter, identitets- og tilgangsadministrasjonssystemer, endepunkter, servere og databaser, IT-infrastruktur, operativsystemer og applikasjoner.

Til sammenligning fokuserer SAP Enterprise Threat Detection kun på overvåking av SAP-sikkerhetsinformasjon. Den støtter ikke korrelasjonen mellom SAP-data og hendelser med data samlet inn av SIEM i cybersikkerhetsteamet. Dette isolerer SAP-sikkerhet på et eget område, noe som skaper et gap mellom SAP-sikkerhet og cybersikkerhet, som ikke utnytter den viktige, kontekstuelle sikkerhetsinformasjonen fra den omkringliggende IT-infrastrukturen, og som ikke utnytter kompetansen i cybersikkerhetsteamet.

Den isolerte sikkerhetsinformasjonsstrukturen er en betydelig hindring ved å ha en helhetlig og 360 graders tilnærming til sikkerhet. Mellomrommet forsinker deteksjonen og responsen på cybersikkerhetshendelser, og gjør SAP-systemer sårbare for cyberkriminelle som utnytter gapet til å trenge gjennom SAP-systemer. For å bygge bro over gapet og støtte et helhetlig syn på sikkerhet, kreves moderne SAP SIEM-løsninger.

Moderne SAP SIEM

Den moderne tilnærmingen til SAP-sikkerhet er basert på kombinasjonen av SAP-sikkerhetsinformasjon med kontekstuell sikkerhetsinformasjon fra den omkringliggende IT-infrastrukturen i SIEM.  SAP-sikkerhetsdata kombineres med disse dataene og kompetansen til cybersikkerhetsteamet for å bygge bro over gapet, forbedre og fremskynde deteksjonen og responsen på hendelser.

Den gjør det mulig for SAPs sikkerhetsteam å dra nytte av avanserte analyser i SIEM-plattformer, inkludert User og Entity Behavior Analytics (UEBA), som supplerer den standard regelbaserte tilnærmingen (kjente trusler) med evnen til å oppdage ukjente trusler og ukjent mistenkelig atferd. For eksempel en meget privilegert SAP-konto som utfører en uvanlig økonomisk transaksjon innenfor tillatte grenser som følge av et phishing-angrep.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser