Christoph Aschauer, direktör, LogPoint för SAP

SAP är marknadsledande inom programvara för företagsapplikationer och används av 92 % av Forbes Global 2 000-företag. Detta inkluderar organisationer som distribuerar 78 % av världens livsmedel och 82 % av världens medicintekniska produkter. SAP-system innehåller stora mängder känsliga personuppgifter i Enterprise Resource Planning, Human Capital Management, Sales, SRM och CRM och andra moduler i systemet.

På många sätt kan ett SAP-system beskrivas som bärare av immateriella rättigheter och hemligheterna bakom framgång för en organisation, som är grundläggande för att leverera sina produkter och tjänster. SAP är också ett viktigt verktyg inom affärsplanering, tillverkning i ERP, Product Lifecycle Management, Business Intelligence, Material Management med mera. Detta understryker behovet av att skydda SAP-system från cyberattacker och cyberbrottslingar.

Tack vare den utbredda användningen av SAP över hela världen och de känsliga data som systemet hanterar för organisationer inom olika branscher är det ett attraktivt mål. Genom att analysera SAP-hotvektorer och tillhörande hotaktörslandskap är det tydligt att det finns betydande SAP-specifik domänkunskap tillgänglig, vilket gör det möjligt för cyberbrottslingar att attackera SAP-system på mycket sofistikerade sätt. Riktar sig mot kronjuveler i stora organisationer och potentiellt störande kritiska infrastrukturer.

För att skydda organisationer som använder SAP är det viktigt att förstå grunderna i SAP-säkerhet, dess svagheter och hur man tillämpar en 360-graders, holistisk säkerhetsstrategi, inklusive en modern SAP SIEM.

Grundläggande SAP-säkerhet

SAP Security har ett stort utbud som spänner över organisationer, processer, applikationer, underliggande system och IT/OT-miljö. Därför är medvetenhet om SAP-säkerhet av största vikt, liksom upprättandet av säkerhetsstyrning. Detta hjälper till att etablera grunderna för strategier, policyer och standarder för SAP.  När man diskuterar SAP-säkerhet är dataskydd och datasekretess viktiga frågor. De är nödvändiga för att skydda en organisations immateriella rättigheter och uppfylla revisionskrav och regelefterlevnad som GDPR.

SAP Security omfattar naturligtvis funktioner som användar- och identitetshantering, åtkomstkontroll och behörigheter, kodsäkerhet, nätverkssäkerhet, OS-säkerhet, databassäkerhet och klientsäkerhet.  Dessutom är ytterligare ett element som måste fastställas när man diskuterar SAP-säkerhet, som till exempel härdning av SAP-system. ”För en djupare introduktion till SAP-säkerhet, se mitt blogginlägg om SAP-säkerhet.”

För att skydda SAP-systemen på rätt sätt krävs ett holistiskt tillvägagångssätt. Det innebär att börja med att utvärdera och etablera en SAP-strategi för säkerhetsstyrning som inkluderar att skapa policyer och riskhantering. Dessutom måste policyer och uppdelning av arbetsuppgifter och efterlevnad övervakas baserat på rapporter och i realtid. Slutligen är övervakningen av åtkomst till viktiga data, som en organisations immateriella rättigheter eller åtkomst till personuppgifter, avgörande eftersom säkerhetskoncept kan kringgås när som helst.

SAP i sig tillhandahåller de vanligaste SAP-säkerhetsverktygen: SAP Solution Manager och SAP Governance Risk and Compliance (SAP GRC). Större SAP-miljöer hanteras vanligen med hjälp av SAP Focused Run. SAP har också lanserat SAP Enterprise Threat Detection som marknadsförs som ”SAP SIEM” för att uppfylla kravet på övervakning av SAP-säkerhetshändelser och aktiviteter i nära realtid.

Teamets gap

Historiskt sett baseras SAP-säkerheten på verktygen som tillhandahålls av SAP själv. Detta beror på att

SAP-säkerhet har huvudsakligen handlat om identitetshantering, åtkomstkontroll och behörigheter som hanteras av SAP-avdelningen. SAP-avdelningen är ofta en del av ekonomiorganisationen eller IT-driftavdelningen. SAP-säkerhet är sällan ett samarbete med cybersäkerhetsteamet som hanterar säkerheten i företagets infrastruktur.

Organisationer misslyckas ofta med att tillsammans med dessa två nyckelavdelningar försvara sina mest värdefulla och sårbara tillgångar. Cybersäkerhetsavdelningar saknar kunskap om SAP-säkerhet, men SAP-avdelningar saknar ofta grundläggande kunskap om cybersäkerhet. Detta grundläggande fel förstärks eftersom de flesta SAP-kunder fortsätter att förlita sig på grundläggande SAP-säkerhetsverktyg och inte använder SAP Enterprise Threat Detection.

SAP Enterprise Threat Detection stöder den välbehövliga övervakningen av SAP-system vad gäller efterlevnad, systeminställningar och systemaktivitet i nära realtid. Ändå används den endast för att öka klyftan mellan SAP-säkerhet och cybersäkerhet.

Cybersäkerhetsgapet

En SIEM-lösning, som används av många cybersäkerhetsteam, är det enda systemet där alla typer av säkerhetsrelevant information samlas in och analyseras i realtid. Den är utformad för att ta emot och analysera miljontals händelser per dag och identifiera hot baserat på fördefinierade regler och avvikelser i användarnas beteende. Ett SIEM-system samlar in data från alla typer av nätverksenheter, identitets- och åtkomsthanteringssystem, slutpunkter, servrar och databaser, IT-infrastruktur, operativsystem och applikationer.

SAP Enterprise Threat Detection fokuserar däremot enbart på övervakning av SAP-säkerhetsinformation. Den stöder inte korrelationen mellan SAP-data och händelser med de data som samlas in av SIEM-lösningen i cybersäkerhetsteamet. Detta isolerar SAP-säkerheten på en ”egen ö” och skapar en klyfta mellan SAP-säkerhet och cybersäkerhet, underlåter att utnyttja den viktiga, kontextuella säkerhetsinformationen från den omgivande IT-infrastrukturen och underlåter att dra nytta av kompetenserna i cybersäkerhetsteamet.

Den isolerade säkerhetsinformationsstrukturen är en viktig vägspärr när det gäller att ha en helhetssyn på säkerhet i 360 grader. Gapet saktar ner upptäckten och reaktionen på cybersäkerhetsincidenter och gör SAP-system sårbara för cyberbrottslingar som utnyttjar gapet för att penetrera SAP-system. För att överbrygga klyftan och stödja en helhetssyn på säkerhet krävs moderna SAP SIEM-lösningar.

Modern SAP SIEM

Det moderna tillvägagångssättet för SAP-säkerhet bygger på kombinationen av SAP-säkerhetsinformation med kontextuell säkerhetsinformation från den omgivande IT-infrastrukturen som finns i SIEM-lösningen.  SAP-säkerhetsdata kombineras med dessa data och cybersäkerhetsteamets kompetens för att överbrygga klyftan, förbättra och snabba på identifiering och respons vid incidenter.

Det gör det möjligt för SAP-säkerhetsteam att dra nytta av den avancerade analysen i SIEM-plattformar, inklusive User and Entity Behavior Analytics (UEBA), som kompletterar den regelbaserade standardmetoden (kända hot) med förmågan att upptäcka okända hot och okänt misstänkt beteende. Till exempel ett mycket privilegierat SAP-konto som utför en ovanlig finansiell transaktion inom tillåtna gränser som ett resultat av en nätfiskeattack.

Frågan kan komma hur en SIEM-analytiker i cybersäkerhetsteamet kan arbeta med SAP-säkerhetsinformation? Nästa generations SAP SIEM stöder kartläggning av identifierade hot mot standarden enligt MITRE ATT&CK-ramverket, vilket hjälper cybersäkerhetsanalytikern ATT tydligt förstå och åtgärda attacken. Nästa generations SAP SIEM stöder också playbooks för respons på incidenter, formalisering av responsprocesser och möjligheten att automatisera avhjälpande åtgärder.

Med detta sagt kommer det att krävas nya färdigheter, som kombinerar expertis inom SAP-säkerhet och cybersäkerhet. Men integreringen av SAP i en SIEM-lösning är den enda platsen där SAP-säkerhet och cybersäkerhet kan mötas för att skapa en helhetssyn och mer cybersäkerhetseffektivitet. Medan avancerade analyser, MITRE ATT&CK-kartläggning och automatisering kommer ATT hjälpa, råder det ingen tvekan om ATT mänskliga färdigheter inom SAP och cybersäkerhet kommer ATT vara en mycket eftersökt färdighet i framtiden. Nu är det dags att sätta igång.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner