In diesem Blog geht es zwar um einige ernste Themen rund um die Sicherheit unternehmenskritischer SAP-Anwendungen, wir möchten hier jedoch spaßeshalber mit einer simplen Quizfrage beginnen: „Wofür steht SAP?“ Laut der Website des Unternehmens ist SAP ein Akronym für den ursprünglichen deutschen Firmennamen „Systemanalyse Programmentwicklung“.
SAP wurde 1972 gegründet und ist ein weltweit führender Anbieter von Unternehmenssoftware. Das Unternehmen hat den größten Marktanteil in den Bereichen Supply Chain Management, Beschaffung, Reise- und Spesenmanagement, Enterprise Resource Planning Software und anderen Kategorien. 99 der 100 größten Unternehmen der Welt nutzen Produkte und Services von SAP.
Ähnlich wie für andere komplexe Unternehmenssysteme bestehen auch für die SAP-Umgebungen von Unternehmen Cybersicherheitsrisiken, die von externen Angreifern und böswilligen Insidern ausgenutzt werden können.
Viele SAP-Anwendungen unterstützen kritische Unternehmensfunktionen und enthalten sensible Daten – von geistigem Eigentum bis hin zu Mitarbeiter- und Kundeninformationen. Aus diesem Grund verfügt SAP über ein robustes Programm für Sicherheit, Compliance und Datenschutz. Dennoch bestehen, ähnlich wie für andere komplexe Unternehmenssysteme, auch für die SAP-Umgebungen von Unternehmen Cybersicherheitsrisiken, die von externen Angreifern sowie von böswilligen Insidern ausgenutzt werden können.
Was die Aufgabe der SecOps-Teams erschwert, ist die eingeschränkte Transparenz bei SAP-Umgebungen und die Schwierigkeit, Sicherheitstools und -prozesse der Kernumgebung zum Schutz von SAP-Assets und -Daten einzusetzen.
IT-, Identitäts-, SecOps- (Security Operations) und andere Teams sind gemeinsam dafür verantwortlich, diese Risiken anzugehen. Doch wenn es um potenziell bösartiges Verhalten und konkrete Cyberangriffe geht, ist hauptsächlich SecOps dafür zuständig, diese schnell zu erkennen, zu untersuchen und darauf zu reagieren. Was die Aufgabe der SecOps-Teams erschwert, ist die eingeschränkte Transparenz bei SAP-Umgebungen und die Schwierigkeit, Sicherheitstools und -prozesse der Kernumgebung zum Schutz von SAP-Assets und -Daten einzusetzen. Dafür gibt es im Wesentlichen drei Gründe:
- SAP-Installationen, die sowohl On-Premise- als auch Multi-Cloud-Infrastruktur umfassen, machen es für viele Sicherheitslösungen schwierig, SecOps-Teams die nötige Transparenz zu bieten.
- Konventionelle Tools für das Monitoring und den Schutz von SAP-Bereitstellungen sind von jeher getrennt vom Security Analytics- und Operations-Stack des Core-Systems. Dies macht es für SecOps-Teams oftmals schwierig, diese Tools sinnvoll einzusetzen.
- Die vielen verschiedenen Log-Formate, die SAP-Systeme, -Anwendungen und -Produkte generieren, machen es schwierig, SAP-Bedrohungsdaten mit herkömmlichen Security Analytics-Lösungen auszuwerten.
Um hochwertige SAP-Assets und -Daten besser zu schützen, sollten SecOps-Teams die SAP-Umgebungen ihrer Unternehmen in die Workflows rund um Monitoring, Erkennung, Untersuchung und Reaktion auf Bedrohungen der Core-Umgebung einbinden. Zu diesem Zweck hat Splunk in Abstimmung mit SAP Splunk® Security for SAP® Solutions entwickelt. Diese von SAP zugelassene Anwendung ermöglicht Sicherheitsteams, Splunk für das Monitoring, Identifizieren und Abwehren von Bedrohungen zu nutzen, die sich auf SAP-Umgebungen auswirken würden. So können SecOps-Teams die Angriffsfläche besser abdecken und die Unternehmensrisiken reduzieren, indem sie die Wahrscheinlichkeit von Störungen und Datenschutzverletzungen durch einen erfolgreichen Angriff auf ihre SAP-Umgebung verringern.
Diese Vorteile beruhen auf folgenden Funktionen von Splunk Security for SAP Solutions:
- Mehr Transparenz bei SAP-Anwendungen und -Daten
- Vordefinierte, SAP-spezifische Sicherheits-Dashboards und -erkennungen
- Umgebungsübergreifende Korrelation und Analyse von SAP-Ereignissen und -Benachrichtigungen mit anderen sicherheitsrelevanten Daten in Splunk
- Konsolidierung und Priorisierung von Bedrohungen nach Unternehmensrisiko für eine effizientere Incident-Untersuchung und Response mit risikobasierten Benachrichtigungen in Splunk Enterprise Security
Splunk Security for SAP Solutions wird auf der Splunk-Datenplattform (Splunk Cloud oder Splunk Enterprise) ausgeführt und bietet maximalen Sicherheitsnutzen, wenn es zusammen mit Splunk Enterprise Security bereitgestellt wird. Splunk Security for SAP Solutions beinhaltet drei Komponenten:
- Das technische Add-On für Splunk Security for SAP Solutions
- Die Anwendung Splunk Security for SAP Solutions
- SAP Enterprise Threat Detection (ETD)
Splunk Security for SAP Solutions zeichnet sich dadurch aus, dass es ETD zum Erfassen von Daten aus einer Vielzahl von SAP-Quellen wie SAP NetWeaver, SAP HANA, SAP Commerce, SAP BTP und vielen anderen nutzt. ETD normalisiert die Daten zudem und erstellt eine Vielzahl von Log-Typen, wie z. B. Logs für Unternehmenstransaktionen, Sicherheitsaudits, RFC-Gateway, Benutzeränderungen, Zugriff, System und mehr. Anschließend reichert ETD die Logs mit Kontextinformationen an und generiert Benachrichtigungen basierend auf spezifischen, anpassbaren Mustern.
Das technische Add-On für Splunk Security for SAP Solutions ruft Benachrichtigungen und zugehörige auslösende Ereignisse aus ETD ab und macht sie für die übergreifende Korrelation mit Sicherheitstelemetrie aus anderen Quellen sowie für weitere Analysen und Untersuchungen in der Splunk Platform oder Splunk Enterprise Security verfügbar. Verdächtige Aktivitäten innerhalb von SAP, wie z. B. Lateral Movement zwischen Entwicklungs- und Produktionssystemen oder eine ungewöhnliche Rechteausweitung, können in Splunk näher untersucht werden, um festzustellen, ob sie Teil eines größeren Angriffs sind.
Die Anwendung Splunk Security for SAP Solutions bietet SAP-spezifische, vordefinierte Korrelationssuchen und Dashboards für wichtige Analysen und Visualisierungen von SAP-Bedrohungsdaten. Hier sind einige Beispiele für Informationen, die in den Dashboards enthalten sind:
- Anzahl der Benachrichtigungen nach Kategorie, darunter beispielsweise verdächtiger Zugriff auf kritische Ressourcen, Zuweisung kritischer Berechtigungen, verdächtige und fehlgeschlagene Anmeldungen, systemübergreifende Kommunikation (z. B. RFC-Aufrufe von nicht produktiven an produktive Systeme) und Websicherheit (wie etwa unerwartete HTTP-Methoden)
- Anzahl der Benachrichtigungen nach Schweregrad
- Benachrichtigungen nach Akteur [Pseudonym], System und Hostname
- Geografische Standorte, von denen Benachrichtigungen eingingen
Mit Splunk Security for SAP Solutions können SecOps-Teams für die SAP-Sicherheit relevante Daten und Kontext mit anderer Sicherheits- und Infrastrukturtelemetrie in Splunk kombinieren, um die Erkennungsqualität zu verbessern und Sicherheitsrisiken im Zusammenhang mit den wichtigsten Geschäftsanwendungen und -daten ihres Unternehmens zu verringern.
Splunk Security for SAP Solutions ist bald verfügbar! Freut euch auf interessante Ankündigungen und besprecht mit unseren Experten, wie ihr eure SAP-Umgebung mit Splunk effektiver schützen könnt.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
