Suchen

Mehr Sicherheit durch SIEM-(In)fusion

SAP – der blinde Fleck im Security Operations Center

Seite: 2/4

Firmen zum Thema

Programmierfehler sind Fallen

Auch Programmierfehler sind die Wurzel vieler Schwachstellen. Das trifft uneingeschränkt auch für den ABAP-Code zu. Beim Standardcode steht SAP in der Pflicht, diese zu finden, zu veröffentlichen und zu beheben.

Die in den letzten drei Jahren deutlich gestiegene Anzahl der SAP-Security Notes zeigt, dass der Hersteller sich dieser Verantwortung stellt. Dennoch sind Schwachstellen in SAP hinsichtlich ihrer Kritikalität anders zu bewerten als zum Beispiel eines „Windows Server 2008“. Der Grund dafür ist, dass SAP®-Applikationen fast immer kundenspezifisch angepasst werden und dabei schnell 2-3 Millionen Code-Zeilen zusammenkommen.

Bildergalerie
Bildergalerie mit 6 Bildern

Unsauber programmierter Code ist oft die Regel und die daraus häufig resultierenden Schwachstellen ermöglichen:

  • Directory Traversal Attacks − Lesen und Schreiben beliebiger Daten auf dem Application Server, was zu unmittelbarer Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit führen kann,
  • ABAP Command Injections − Ausführung von Befehlen zur Laufzeit welche durch Benutzereingaben ausgelöst werden
  • Aufruf beliebiger RFC-fähiger Funktionen, die eine ungeahnte Anzahl Angriffsvektoren bergen − in SAP NW7.01 ECC gibt es über 33.000 Funktionen.

Schwache Bereinigung der Schwachstellen

Ein weiteres Risiko birgt die mangelhafte Schwachstellenbehebung. Da SAP-Systeme geschäftskritische Daten speichern und verarbeiten, verursacht jede Abschaltung signifikante Kosten. Ungeplante Ausfälle infolge fehlerhafter Patches sind kaum tolerierbar.

Oft sind daher die mit dem SAP-Betrieb betrauten Mitarbeiter nicht Willens, das Ausfallrisiko zu tragen und spielen Sicherheits-Patches zeitverzögert oder gar nicht ein. Das führt in einigen Fällen dazu, dass Schwachstellen über Jahre hinweg existieren.

Lauernde Gefahren

Eine weitere große Unbekannte ist das Potential unentdeckter Gefährdungen, denn im Vergleich zu Web-Servern oder Windows Domain Servern sind SAP-Systeme bisher kaum nennenswert von einer weltumspannenden „Cracker-Gemeinde“ durchgängig penetriert und analysiert worden.

Es gibt eine Reihe von Ereignissen in SAP, die im laufenden Betrieb passieren und die in der Konsequenz ernsthafte Bedrohungen darstellen, Was sind die Wichtigsten im SAP Umfeld? (siehe: Abbildung 2):

  • Passwort Sniffing in Kommunikationsbeziehungen die das DIAG-Protokoll nutzen,
  • Aktivierung des Debugging auf Qualitätssicherungs- und Produktivsystemen,
  • Aufruf von Betriebssystemkommandos über SAPXPG,
  • Ausführung von Diensten durch SAP®-Web-Server ohne weitere Authentisierung,
  • Unbeschränkter Systemzugriff durch externe Programme über das SAP®-Gateway,
  • Aufruf von Funktionsbausteinen per SOAP RFC Service.

Alle diese Ereignisse betreffen den kaum überwachten Business Runtime Layer („Netweaver“/Basis). Sie führen zu Informationsdiebstahl, Datenmanipulation, Missbrauch und Sabotage und tragen zu ungleich höheren Risiken als SoD-Verletzungen bei. Um Angriffe auf dieser Ebene zu entdecken, bedarf es einerseits der lückenlosen und vollständigen Erfassung aller sicherheitskritischen Ereignisse sowie Parameter und andererseits der Kontinuität durch eine permanente Abfrage.

Beides lässt sich nur durch Automatisierung erreichen. Was aber gehört ins Monitoring?

Monitoring-Aufgaben

Um Risiken zu minimieren und Gefahren zu erkennen, müssen Daten aus Log-Dateien, Tabellen und Profil-Parameter erfasst, korreliert und gegen Policy-Vorgaben geprüft werden. Aber es wäre zu kurz gedacht, die SAP-spezifischen Parameter und Ereignisse im SIEM für sich allein zu betrachten.

Denn SAP-Systeme existieren nicht im Vakuum. Durch Cross Device / Cross Event – Korrelation lassen sich SAP-Events mit denen aus der übrigen Systemlandschaft in Beziehung setzen. Zum beispiel lässt sich so herauszufinden, welche Accounts in SAP existieren / benutzt werden, die nicht im DS (Directory Service) / IM (Identity Management) vorkommen. Das Bild wird vollständiger und False Positives können reduziert werden (siehe: Abbildung 3).

(ID:42240767)