:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cenoti für Splunk – SAP mit Splunk verbinden SIEM-Blick auf SAP-Daten im Kontext operativer Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Eine der wichtigsten Anforderung für eine organisationsübergreifende und risiko-orientierte Anomalie- & Angriffserkennung ist die Korrelation von Informationen aus möglichst allen relevanten Datenquellen innerhalb der Organisation. Da die Anbindung von Daten aus SAP-Systemlandschaften einige Herausforderungen aufwirft, wird dies häufig organisatorisch und/oder technisch abgegrenzt behandelt. Bezogen auf das Ziel des „Umfassenden Lagebilds“ ein No-Go.
Ein Grund dafür ist, dass die durch SAP-Systeme verarbeiteten Daten, die Primary Assets der Organisation (businessrelevante Prozesse und Aktivitäten im Kontext der ISO/IEC 27001, umgangssprachlich „Kronjuwelen“) direkt unterstützen und die Erfüllung der individuellen Ziele der Organisation damit in direkter Abhängigkeit stehen. Aus dieser Perspektive betrachtet gilt es, die Daten aus der SAP-Systemlandschaft mit denen weiterer Datenquellen zu korrelieren. Ziel muss es daher sein, SAP-Systeme bei der Anbindung von Datenquellen an ein SIEM-Tool bzw. -Service nicht außen vor zu lassen, sondern risiko-orientiert und mit angemessener Priorität aktiv zu verfolgen. SAP stellt zwar entsprechende Tools & Optionen für die Erhebung dieser Informationen bereit. Allerdings bieten diese nicht die Funktionen und Leistungsmerkmale in Bezug auf die Korrelation mit additiven Datenquellen/Datentypen, die z. B. moderne SIEM-Tools bieten. Umgekehrt weisen SIEM-Tools in deren Standard-Lieferumfang keine bis wenige Schnittstellen zu SAP auf.
Mögliche Risiken von Individualentwicklungen
Um dem Ziel der ganzheitlichen Betrachtung näher zu kommen, ergreifen viele System- und Serviceverantwortliche individuelle, organisationsspezifische Maßnahmen. Diese bestehen oft aus manuellen oder nur teilweise automatisierten Schritten, gepaart mit daraus resultierenden Risiken, z. B. Fehler bei Kopiervorgängen und Medienbrüchen bzw. daraus resultierender Fehl- oder Falschinformation. Dieser indifferente Zustand stellt keine akzeptable Basis für eine qualitativ hochwertige Detektion auf Basis hochwertiger, stets reproduzierbarer Basisinformationen bereit. Vielmehr werden die möglichen Risiken der Generierung von False-Positiv und – viel gefährlicher – False-Negatives signifikant erhöht. Alternativ nutzen Service- und Systemverantwortliche häufig auch die Möglichkeit, die unqualifizierten Rohdaten der zahlreichen Standard-Logfiles, die SAP-Systeme bereitstellen, als Datenquelle in SIEM-Tools und -Services zu integrieren. Da letztgenannte meist nach Datenmenge bzw. Events pro Zeiteinheit lizenziert werden, kann dies zu höheren Kosten führen. Ungeachtet dessen ist das SIEM-Tool-Engineering gefordert, entsprechende Use Cases, Dashboards usw. von Grund auf zu planen, umzusetzen und deren Qualität fortlaufend sicherzustellen.
Identify & Protect
EPI-USE bietet mit Cenoti ein Produkt mit Support an, das SAP-seitig Informationen auf Basis eines etablierten Datenmodells je nach Kategorie per Field Set Definition tagged (PII, PCI, HIPAA, …). Dieses Datenmodell kann individuell für jede Organisation bzw. für jedes angebundene System spezifisch angepasst werden. Auf diese Weise ist es einerseits möglich, die Informationen kritischer Businessprozesse mit den Ergebnissen individueller Risk Assessements, nachgelagerter Managementprozesse (ISMS) und bereits ergriffener Maßnahmen (z. B. Patchmanagement, Datenklassifizierung, Incident Response Management) individuell und zielgerichtet zu erfassen. Andererseits erlaubt dieses Vorgehen, neben der zuvor beschriebenen Individualisierung, die Menge an Daten aktiv zu managen, die an ein SIEM-System übertragen werden (Stichwort Kostenreduzierung). Cenoti liefert dazu produktseitig ein JSON-Interface für den transportverschlüsselten Export der Daten (optional auch pseudonymisiert oder anonymisiert), z. B. an den HTTP Event Collector von Splunk.
Detect
Nach Abschluss der Installation/Konfiguration der Cenoti for Splunk App können die SAP-seitig erfassten, gesammelten und getaggten Informationen in Splunk mit den Möglichkeiten und Leistungsmerkmalen eines modernen SIEM-Systems analysiert und weiterverarbeitet werden. Dafür stellt die App produktseitig Searches und Dashboards als Basis bzw. für mögliche Anpassungen oder Erweiterungen bereit. Zusätzlich werden, bezogen auf die Detektion, Standard Use Cases geliefert, die isoliert auf die Datenquelle SAP angewendet werden können. Diese beinhalten beispielsweise die Detektion anomalen Benutzerverhaltens, wie z. B. die Anzahl fehlerhafter Anmeldungen bzw. ermöglicht diese die zeitnahe Reaktion auf den Abfluss möglicherweise sensibler Daten.
Weitere Anwendungsfälle mit Cenoti als (singuläre) Datenquelle ist die Detektion angewendeter toxischer Berechtigungen, der Zugriff auf als PCI-relevant kategorisierte (getaggte) Daten, Informationen zum IDoc-Status, zu Transaction-Code-Errors sowie den CCMS Monitor Tree Elements. Bezogen auf das in der Einleitung genannte, „umfassende Lagebild“, liefern die Daten aus Cenoti durch Korrelation mit den Informationen weiterer (ggf. am bestehenden SIEM-Tool bereits angeschlossener) Datenquellen, Feeds und Enrichments (z. B. Asset-Informationen, PCAP, Threat Intel, Informationen aktiver/passiver Discovery-Tools, Logs, …) die eigentlichen Mehrwerte. Sie ermöglichen ein übergreifendes Use Cases auf der Basis möglichst valider und qualitativ hochwertiger Daten aus multiplen Datenquellen. Generell ist zu erwähnen, dass die durch Cenoti bereitgestellten Daten grundsätzlich auch kompatibel für die Verarbeitung in der Splunk ES (Enterprise Security) App sind, deren Installation aber nicht Systemvoraussetzung ist. Beim Use Case Design, der Konfiguration von Correlation searches, Defintion individueller Risk scores sowie der Beschreibung/Verlinkung entsprechender Maßnahmen (Playbooks, Runbooks) in Splunk ES kann auf existierende Vorgehensweisen und Prozessen zurückgegriffen werden.
Respond & Recover
Die bisher beschriebenen Maßnahmen (z. B. Taggen in SAP, Enrichment, Risk score) unterstützen die Organisation dabei, vorliegende Incidents auf Basis der beispielsweise im Incident Management Plan fixierten Inhalte, zu klassifizieren sowie Maßnahmen direkt abzuleiten und zuzuweisen. Bei der möglicherweise notwendigen forensischen Untersuchung im Incident Response Prozess kann der Analyst im Security Operation Center direkt auf weitere produktseitig bereitgestellte Features (z. B. eine User Activity Summary) zurückgreifen, ohne die zugrundeliegenden Informationen aus verschiedenen Quellen ggf. manuell extrahieren zu müssen. Werden im „Lessons learned“ eines Incidents im Kontext SAP, mögliche Optimierungspotentiale in der Eventerzeugung und Vorqualifizierung in Cenoti oder der Verarbeitung in Splunk lokalisiert, bieten beiden Werkzeugen dahingehend flexible Anpassungsmöglichkeiten.
Fazit
Die Kombination aus Cenoti und Splunk bietet eine erprobte Option, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, das Ziel „Umfassendes Lagebild“ in Bezug auf Informationssicherheit zu erreichen und so die Organisation bei der Erfüllung der Informationssicherheitsziele durch Absicherung der Primary Assets („Kronjuwelen“) bestmöglich zu unterstützen.
(ID:48317545)
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/0d/840d9209f7e086fd4753befe2594de1f/0115093778.jpeg "Ein Managed SOC kann für alle Unternehmen – egal wie groß oder aus welcher Branche – eine gute Lösung sein. (Bild: Gorodenkoff - stock.adobe.com)")