Suchen

Mehr Sicherheit durch SIEM-(In)fusion

SAP – der blinde Fleck im Security Operations Center

Seite: 3/4

Firmen zum Thema

Holistisch versus Tool-Zoo

Befragt man Unternehmen zu den eingesetzten Security-Werkzeugen, so trifft man auf oft einen ganzen Tool-Zoo, dessen Bestanteile jedoch oft nur Teilaspekte der IT-Sicherheit für ein oder mehrere SAP-Systeme abdecken. „SAP GRC Access Control“ beispielsweise hilft bei der Definition und Implementierung eines Rollenkonzeptes und unterstützt auch beim Monitoring oder dem Audit von Berechtigungen in den Systemen sowie der Nutzung von Notfallusern. Leider ist es nicht geeignet, um Quellen wie SAL, System Log, System Parameters, Gateway Log, Table Logging auszulesen oder etwa technische Konfigurationsparameter zu prüfen.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Prüfung der Konfigurationseinstellung gegen Policy-Vorgaben, zum Beispiel Passwort-Richtlinien oder SAP-Gateway-Vorgaben, kann teilweise mit dem „SAP-Security Optimization Service“ geprüft werden. Für das Code Scanning existieren ebenfalls verschiedenen Lösungen am Markt.

Mit dem Report „RSECNOTE“ kann eine Übersicht offener und bereits implementierter Security Patches ausgegeben werden. Transaktions-Monitoring, also die Überprüfung etwa der Einhaltung von Workflows und Vorgaben zu einzelnen Geschäftsprozessen beispielsweise sind immer kundenspezifisch und auch hier existieren Punktlösungen, die das Monitoring einzelner Prozesse erlauben.

Das Wurmloch in der Erfassung

Keine der aufgeführten Lösungen verfolgt jedoch den Ansatz, zeitnah sicherheitsrelevante Ereignisse und Parameter der gesamten SAP-Landschaft zu erfassen, geeignet aufzubereiten und in einen Workflow zur Problemanalyse und -beseitigung (Remediation Life Cycle) zu überführen. Dabei wären SIEM-Systeme prädestiniert als Security Cockpit auch für SAP-Landschaften in die Überwachung einzubeziehen.

Um die enorme Anzahl sicherheitsrelevanter Ereignisse auswerten zu können, kommen heute in den meisten größeren Organisationen derartige SIEM-Systeme ohnehin zum Einsatz. SIEM-Lösungen können Analyse und Korrelation von Sicherheitsereignissen in Echtzeit mit Logdatenaufkommen von 75.000 Events Per Second (EPS) und mehr automatisiert durchführen.

Sie geben Sicherheitsspezialisten einen Überblick zu aktuellen Bedrohungen und ermöglichen Trendanalysen und forensische Vorfalluntersuchungen. Durch Erfassung, Normalisierung, Aggregation und Korrelation der Log-Events unterschiedlicher Systeme verschiedener Hersteller (Cross-Device & Cross-Vendor Data) können aus Zehntausenden von Events diejenigen identifiziert werden, die eine tatsächliche Bedrohung kritischer Anwendungen und Daten darstellen. Was spricht dagegen, diese intelligenten Systeme nicht auch für SAP zu nutzen?

SIEM – zentrales Fenster in die IT-Sicherheit

Aus dem Bereich Netzwerk-Sicherheit kommend, unterstützen heute alle führenden SIEM-Hersteller, etwa HP mit “HP Arcsight“, IBM mit “QRadar“ und McAfee mit “Nitro“, „Log Rhythm“, die Integration mehrerer hundert gängiger Produkte aus Network, Device und Database Layer. Vielen Unternehmen, die substanzielle Investitionen in SIEM Systeme getätigt haben, ist das jedoch zu kurz gedacht:

Was fehlt, ist die Integration geschäftskritischer Anwendungen, insbesondere der ERP-Systeme ( wie von SAP, Oracle, Peoplesoft, Microsoft) ins zentrale Security Management. Die Lücke ist umso gravierender, da die etwa mit Firewalls, Proxies, Intrusion Prevention Systemen abgesicherten Perimetergrenzen durch Mobile Access, WLAN, Cloud Computing und Internet-Portale durchlässiger geworden sind.

Die gängige Aussage: „Unsere SAP Systeme stehen in geschützten Umgebungen“ ist so in vielen IT-Umgebungen nicht länger zutreffend. Die Applikationen und die darin verarbeiteten und gespeicherten Daten müssen zunehmend als zu schützendes Asset betrachtet werden (siehe: Abbildung 4).

(ID:42240767)