Organisationer som använder SAP som affärsapplikation eller ERP-system lagrar ofta sina viktigaste tillgångar, inklusive immateriell egendom inom SAP. Dessa uppgifter måste skyddas mot obehörig åtkomst både utifrån och inifrån organisationen. SAP-system kräver ett omfattande skydd och säkerhetsövervakning.

Vad är SAP-säkerhet?

SAP (Systems Applications and Products) Security är ett sätt att skydda verksamhetens data och system genom att övervaka och kontrollera åtkomst både internt och externt. SAP-system är en typ av ERP-programvara som används av alla typer av företag inom många olika branscher.

Det finns olika aspekter av SAP-säkerhet som t.ex. infrastruktursäkerhet, nätverkssäkerhet, operativsystemsäkerhet och databassäkerhet. Ytterligare ett lager omfattar skyddad kod, vilket omfattar underhåll av SAP-kod och säkerhet i skräddarsydd/specialanpassad kod.

En säker installation av SAP-servrar är avgörande för att hålla företagets privata information säker och utom räckhåll för cyberbrottslingar. Detta omfattar säker konfiguration av en server, aktivering av säkerhetsloggning samt säkerhet rörande systemkommunikation och datasäkerhet. Användare och behörigheter övervakas och spåras också aktivt.

Elementen i SAP-säkerhet

Med hänsyn till SAP-systemens komplicerade och sammanlänkade karaktär krävs det mycket för att upprätthålla deras säkerhet. Nedan följer en översikt över de olika aspekterna av SAP-säkerhet:

  • Infrastruktursäkerhet
  • Nätverkssäkerhet
  • Operativsystemsäkerhet
  • Databassäkerhet
  • Skyddad kod
  • Konfiguration av en server
  • Aktivering av säkerhetsloggning
  • Systemkommunikation

När det görs på ett effektivt sätt blir det enkelt att upprätthålla systemets efterlevnad av datalagstiftningen med hjälp av kontinuerlig övervakning, revisioner och etablering av nödsituationsrutiner.

Vad används SAP-säkerhet till och varför är det så viktigt?

SAP-säkerheten är ofta isolerad eller den döda vinkeln inom centraliserade cybersäkerhetssystem hos företag. I och med att 66 % av alla företagsledare runtom i världen upplever att cyberattacker har blivit allt vanligare så är det ett naturligtvis ett allvarligt problem.

Som en motåtgärd mot dessa attacker har SAP-säkerheten utvecklats för att hjälpa till att skydda de affärskritiska system som organisationer förlitar sig på för att driva sina affärsverksamheter effektivt.

De vanligaste användningsområdena för SAP-säkerhet är att:

  • Förhindra intrång och bedrägerier
  • Säkerställa dataintegritet
  • Identifiera obehörig åtkomst
  • Möjliggöra kontinuerlig och automatiserad revision
  • Identifiera dataläckor
  • Centralisera säkerhetsövervakningen

En attack mot ett SAP-system kan ha förödande följder för verksamheten och leda till ekonomiska förluster, problem i leveranskedjor och skadat rykte på lång sikt.

För att förhindra sådana motgångar måste dessa system skyddas mot interna och externa cyberhot. På så sätt kan din verksamhet fortsätta att upprätthålla sekretess, tillgänglighet och integritet.

Trots detta håller många organisationer dessa system utom räckhåll för säkerhetsteamen eller förlitar sig enbart på ERP-leverantörernas verktyg. Knappast förvånande ökar detta dramatiskt risken för attacker och gör ERP-system – såsom SAP – till ett primärt mål för angripare.

Hur fungerar SAP-säkerhet?

Eftersom SAP-system länkar samman olika avdelningar och program för att hjälpa dig att driva din verksamhet effektivt är de extremt komplicerade. Eftersom de är så komplexa och unika till sin karaktär blir det svårare att utveckla lämpliga cybersäkerhetsåtgärder.

Och med angripare som attackerar system var 39:e sekund, enligt en studie från University of Maryland, är det mycket viktigt att skydda dem.

Inom SAP-säkerhet finns det flera åtgärder som du kan vidta för att förhindra attacker:

Roller och behörigheter

För det första tillhandahåller dina SAP-system nödvändiga behörigheter som standard. Kundspecifika behörigheter konfigureras i SAP för att göra det möjligt att tilldela grundläggande behörigheter. Tilldelningen av behörighetskombinationer (Segregation of Duties, SOD) är avgörande.

Tilldelning av kritiska kombinationer av behörigheter bör undvikas och endast användas eller tilldelas i undantagsfall, t.ex. för beredskap eller liknande. Ytterligare en komplikation i SAP-säkerheten är att behörigheter och roller kan manipuleras i SAP via standardfunktioner i SAP.

Därför är det mycket viktigt att undersöka nödvändiga behörigheter och behörighetskombinationer, vilket innebär stora utmaningar för organisationer. Det är också viktigt att genomföra löpande automatiserade revisioner av SAP-behörigheter.

Du kan enkelt utföra dessa kontroller med hjälp av en testkatalog. Att skapa denna från grunden kräver ansträngning och är inte bara relevant för behörigheterna inom SAP Basis-området, utan även för affärsprocesserna. Anta att ”fyra till sex ögon”-principen undermineras genom tilldelning av nödvändiga behörigheter och kombinationer av behörigheter. Om så är fallet finns det risk för intrång eller bedrägeri.

SOD-kontroller bör idealiskt sett inte bara utföras efter SAP-roll, utan även efter användare som kan utgöra en SOD-konflikt genom att vara tilldelade flera roller. Förutom utvärdering av användare bör du veta vilka roller som slutligen utlöser kombinationskonflikten. SAP-transaktionen SUIM och dess API möjliggör kontroll av kombinationer av kritiska behörigheter.

Patchhantering

SAP påverkas i allt högre grad av dataintrång. Hot som för närvarande hanteras inom traditionell cybersäkerhet gäller även SAP-system. Det finns kontinuerliga publikationer av så kallade SAP Security Notes, men utmaningen för organisationer är att hålla sina SAP-system uppdaterade och implementera patcharna löpande.

Tyvärr så är det inte alltid möjligt.

Därför förblir många SAP-system opatchade under lång tid och slutar med allvarliga säkerhetsluckor. Och ännu värre: i och med lanseringen av nya patchar publiceras information om var sårbarheterna finns och hur de kan exploateras. Inte bara patchning är avgörande, utan även identifiering av sårbarheter, så kallade zero-day-sårbarheter.

Transaktionsövervakning

SAP erbjuder också ett stort antal kritiska transaktioner och funktionsmoduler som finns åtkomliga på distans. Det innebär att det är möjligt att skapa konton via SAP-systemets API, tilldela dem behörigheter och sedan använda dem på distans. Andra byggstenar och funktionsmoduler kan sedan läsa in eller manipulera data från SAP-systemet.

Återigen spelar behörighetstilldelningen en viktig roll eftersom den begränsar användningen av transaktioner. Därför är det mycket viktigt att du övervakar exekveringen av transaktioner, RFC-moduler eller SAP-rapporter kontinuerligt i realtid. Åtkomst till SAP-system utifrån via gränssnitten i ett SAP-system – till exempel RFC-gränssnittet – måste också övervakas.

SAP-kodsäkerhet

Sedan kommer vi till kodsäkerheten – en viktig del av din SAP-säkerhet. I SAP-system är det ofta utvecklarna som ansvarar för att säkerställa ABAP-kodens säkerhet. Kodningen sammanställs i transporter och transporteras från utvecklingssystemen till produktionssystemen, men ofta görs det utan tillräcklig undersökning av kodningen.

Än värre är att SAP erbjuder angripare alternativ för kodinjektion eftersom kodning även kan genereras och exekveras vid körning. Manipulering av viktiga och brådskande transporter är bara ett sätt att transportera skadliga program till ett SAP-system helt oupptäckt. Som tur är tillhandahåller SAP en kodinspektör med moduler som Code Vulnerability Analyzer för att kontrollera kodningen.

Systeminställningar

Dina systeminställningar är grunden för din SAP-säkerhet och det finns mängder av inställningsmöjligheter i SAP-system. Inställningar görs på databasnivå genom SAP-transaktioner, s.k. SAP Profile Parameters som lagras i filer.  Utrullningen av ett SAP-system måste följa en regeluppsättning för systeminställningar som du hittar i en SAP Basis drifthandbok.

Här bestäms hur säkerhetsinställningarna tilldelas i ett SAP-system, hur åtkomst beviljas eller nekas och vilken kommunikation som tillåts i ett SAP-system. Här är operativsystem, databas och applikationslager relevanta. Vart och ett av dessa lager kräver korrekt konfiguration av säkerhetsinställningarna.

Tyvärr är dessa ofta otillräckliga i ett standard SAP-system. I många företag är till exempel bara 5 % av deras mappar korrekt skyddade.

RFC-konfiguration

RFC Gateway kan beskrivas som den interna brandväggen i SAP och måste konfigureras exakt (RegInfo, SecInfo) för att undvika obehörig fjärråtkomst från system och applikationer.

Riktlinjer för bästa praxis i SAP, eller riktlinjer från SAP-användargrupper som DSAG, innehåller praktiska och säkerhetsorienterade inställningar och testkataloger.

SAP-säkerhet och åtkomstloggar

SAP-säkerhet omfattar även en rad säkerhetsloggar. Dessa måste aktiveras och kontrolleras samtidigt.

De mest kritiska loggarna är SAP Security Audit Log (SM20), som innehåller en uppsättning säkerhets- och revisionsrelevanta händelser. Ändringsloggar (SCU3) för databastabeller finns tillgängliga och s.k. Change Documents of Users and Business Objects (SCDO). SAP RFC Gateway Log SMGW innehåller loggar för RFC Gateway, loggar för SAP Internet Communication Manager och Web Dispatcher.

SAP Read Access Log lagrar läs- och skrivåtkomst till specifika fält för transaktioner, rapporter eller program. På så sätt tillhandahålls en viktig komponent för att uppfylla skyldigheterna enligt EU:s dataskyddsförordning (GDPR eller DS-GVO) – loggning av åtkomst till personuppgifter. 

Konfigurationen av SAP Read Access-loggarna och deras utvärdering är ett grundläggande element i SAP säkerhetsövervakning, inte minst med hänsyn till GDPR. Med hjälp av denna logg kan åtkomst till SAP övervakas, extraheras och samlas in centralt och i bästa fall automatiskt övervakas med lämpliga regler. SAP Read Access Log underhålls via transaktionen SRALMANAGER.

Bästa praxis för SAP-säkerhet

Med så mycket i farozonen och så mycket att organisera kan det vara överväldigande att utveckla en rimlig plan. Här är en snabb och enkel checklista som hjälper dig att komma igång om du vill öka säkerheten i SAP.

För att skydda dina data måste du göra ett antal olika utvärderingar:

  • Intern utvärdering av åtkomstkontroll
  • Utvärdering av ändrings- och transportprocedur
  • Utvärdering av nätverksinställningar och landskapsarkitektur
  • Utvärdering av OS-säkerhet
  • Utvärdering av DBMS-säkerhet
  • Utvärdering av USAP NetWeaver-säkerhet
  • Utvärdering av olika SAP-komponenter (som SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router och SAP GUI).
  • Utvärdering av överensstämmelse med SAP-, ISACA-, DSAG- och OWASP-standarder

När du har gjort dessa utvärderingar finns det fortfarande ytterligare några åtgärder som du behöver vidta. Med en effektiv plan du att ligga steget före de flesta företag – och cyberattacker. Här följer en enkel process i fyra steg för att komma igång och övervaka din SAP-säkerhet:

  1. Anpassa dina inställningar: Säkerställ att dina inställningar stämmer överens med din organisationsstruktur. Du bör också utbilda dina team och dubbelkontrollera att alla fastställda säkerhetsriktlinjer följs.
  2. Fastställ beredskapsrutiner: I händelse av en nödsituation bör du ha en beredskapsplan för att kunna hantera situationen snabbt och effektivt. För det första bör du vara säker på att dina nätverksadministratörer enkelt kan återkalla åtkomst och behörigheter efter behov.
  3. Genomför hushållning och revision: Du ska alltid övervaka dina SAP-system kontinuerligt. Säkerställ också att listan över behörigheter uppdateras regelbundet, särskilt när du har nyanställda eller anställda som byter arbetsuppgifter.
  4. Använd säkerhetsverktyg: Slutligen är det viktigt att ha rätt säkerhetsverktyg på plats för att kunna få en överblick över allt som händer och identifiera potentiellt misstänkta aktiviteter. På så sätt kan du lättare förhindra cyberattacker och dataintrång.

SAP säkerhetslösningar och verktyg

Letar du efter rätt säkerhetsprogram för SAP? Det är svårt att veta var man ska leta och vem man ska lita på – särskilt när det gäller något så viktigt.

Även om leverantören tekniskt sett tillhandahåller en SAP-säkerhetslösning lyckas den i regel inte med att integrera organisationens övriga cybersäkerhetsövervakning. Detta skapar en död vinkel för säkerhetsteamet och ökar risken för såväl interna som externa cyberhot.

Därför kan integrering av din SAP-säkerhetsövervakning i en centraliserad SIEM-lösning tillföra ett stort värde till cybersäkerheten, IT-verksamheten, systemefterlevnaden och affärsanalyserna. Idealiskt sett använder dessa plattformar tekniker som UEBA (User Entity and Behavior Analytics) – för att få beteendeinsikter utöver regelbaserad övervakning.

SAP-säkerheten måste övervakas kontinuerligt och automatiskt via SIEM-lösningar. Vid en central punkt i företaget, integrerad i IT-säkerheten, idealiskt sett hanterad av ett SOC (Security Operations Center) för att identifiera hot och reagera direkt.

 

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews