Suchen

Mehr Sicherheit durch SIEM-(In)fusion

SAP – der blinde Fleck im Security Operations Center

Seite: 4/4

Firmen zum Thema

Blind-Spots im Security Monitoring

Ein prinzipielles Problem der Integration sicherheitsrelevanter Ereignisse aus SAP-Landschaften in SIEM Systeme ist das Fehlen einer einheitlichen Schnittstelle in SAP. Die abzufragenden Informationsquellen in SAP liegen verstreut und nutzen unterschiedliche Formate und Schnittstellen.

Bildergalerie
Bildergalerie mit 6 Bildern

Das hatte bisher zur Folge, dass SIEM-Produkte allenfalls in der Lage waren, das SAL (SAL = Security Audit Log) zu lesen. Leider stellen die im SAL enthaltenen Informationen keine hinreichende Basis für eine objektive Vorfallbewertung da. So ist es beispielsweise möglich, Berechtigungsänderungen an Benutzern zu detektieren, jedoch ist aus dem SAL nicht ersichtlich was geändert wurde; siehe: Log-Ausgabe SAL versus Agile SI bei SAP_ALL-Profilerweiterung:

SAL-Message: Authorizations for User D.OWNLOAD ChangedagileSI-Message: BNAME="D.OWNLOAD" ACTION="Profile added" OLD_VAL="" OLD_TEXT="" NEW_VAL="SAP_ALL" NEW_TEXT="All SAP System authorizations"

Korrelationsregeln, grafische Aufbereitung oder Berichte, die sich am DSAG-Prüfleitfaden orientieren, gab es von keinem einzigen SIEM-Hersteller. Hier liegt die Herausforderung in dem hochgradig interdisziplinären Wissen, was nötig ist um die SAP-SIEM-Lücke zu über-winden. Da SAP lediglich eine von typischerweise 250 bis 400 unterstützten Ereignis-Quellen (Devices) für das SIEM darstellt ist, kann SAP-Security Know-how nicht unbedingt als Kernkompetenz der SIEM-Hersteller vorausgesetzt werden.

Hier kommt das Know-how der Systemintegratoren ins Spiel, die beide Welten beherrschen und in der Lage sind, Antworten auf folgende Fragen zu liefern :

  • Wo liegen in SAP die Informationen?
  • Wie müssen die Informationen interpretiert werden?
  • Wie und wie oft können diese extrahiert werden?
  • Wo liegt das Optimum der Intervalle in Hinblick auf Security und Logvolumen?
  • Wie müssen die Daten aggregiert und formatiert werden?
  • Welche neuen Variablen und Kategorisierungen müssen im SIEM eingeführt werden?
  • Wie müssen die Daten im SIEM zur Interpretation aufbereitet werden?

Security Intelligence – vom Buzzwort zur Realität in drei Schichten

Der zentrale Ansatz für eine intelligente Verarbeitung sicherheitsrelevanter Ereignisse basiert auf Echtzeitauswertung und der Integration mit marktführenden SIEM-Produkten. Mit einer simplen 3-Ebenen-Architektur, bestehend aus Agenten, Middleware und SIEM ließe sich ein hochflexibles, adaptier- und erweiterbares Monitoring-Framework, mit dem auch kundenspezifische SAP-Tabellen und Transaktionen überwacht werden können, realisieren:

Die Agenten extrahieren kontinuierlich alle benötigten Informationen aus SAP-Systemen und werden zentral konfiguriert und gesteuert. In der Middleware erfolgen Vorverarbeitung und Übergabe in einem standardisierten Format an das jeweilige SIEM-System. Die Administration von Core und Agenten könnte über ein zentrales Web-(Dynpro)-Frontend erfolgen. Im SIEM finden Kategorisierung, Korrelation, Bewertung der Kritikalität, Visualisierung, Notification und Alerting sowie das Reporting statt (siehe: Abbildung 5).

Die in Dashboards aus Grafiken, Tabellen und Alarmanzeigen dargestellten Informationen müssen sich an allgemeingültigen Metriken der IT-Sicherheit, zum Beispiel Severity und Risk Level orientieren, um auch für ein SOC-Team ohne SAP-Expertenwissen interpretierbar zu sein. Gleichzeitig ist es wichtig, die SAP-Terminologie so beizubehalten, dass die Berichte als Nachweis im Rahmen von Audits verwendet werden können (siehe: Abbildung 6).

Agile SI – 360 Grad SAP-Security Monitoring von IT-Cube

Seit 2012 ist mit „Agile SI“ eine automatisierte und SAP-zertifizierte Lösung am Markt, die kontinuierlich ganze SAP-Landschaften scannt und dabei unter anderem Schwachstellen in Systemkonfigurationen, Fehler in Zugriffsrechten, SoD-Verletzungen, Manipulationen in kritischen Transaktionen und verdächtige Aktivitäten privilegierter Benutzer im SIEM aufbereitet darstellt. Die Software ist mit HP/ArcSight ESM, IBM/QRadar, LogRhythm, LogPoint und Splunk integrierbar und unterstützt alle gängigen und in Mainstream Maintenance befindlichen Versionen der SAP Enterprise Suite von NW 7.01 und neuer.

Andreas Mertz ist Gründer und Geschäftsführer bei IT-Cube. Das Unternehmen bietet mit "Agile SI" ein derzeit gefragtes Security-Tool für SAP-Anwendungen an.
Andreas Mertz ist Gründer und Geschäftsführer bei IT-Cube. Das Unternehmen bietet mit "Agile SI" ein derzeit gefragtes Security-Tool für SAP-Anwendungen an.
(Bild: IT-Cube)
Die Implementierung erfolgt durch Einspielen eines Add Ons, für das ein eigener Namensraum existiert. In puncto Sicherheit wurde darauf geachtet, dass Agile SI als eigenständiges Berechtigungsobjekt behandelt wird, per SNC kommuniziert und dafür definierte technische User verwendet.

Der Autor:

Andreas Mertz ist Gründer und Geschäftsführer der IT-Cube Systems GmbH. Der Dienstleister konzentriert sich ganz auf IT-Security-Themen.

(ID:42240767)