Bezpieczeństwo SAP: dlaczego SIEM nie wykrywa wszystkiego i jak mimo tego skupić się na incydentach SAP
Standardowy monitoring SIEM często nie wystarcza aby utrzymać pełne bezpieczeństwo SAP, ponieważ pewne specyficzne logi SAP oraz ich analiza nie są interpretowane i w konsekwencji, wzorce ataków nie zostają zidentyfikowane ani rozpoznane. Dlaczego należy mieć tę kwestię na uwadze, co mogą zrobić przedsiębiorstwa, aby zintegrować SAP z monitoringiem i dlaczego to kompleksowe zabezpieczenie może przynieść dodatkową wartość – na te pytania odpowiada Ralf Kempf (CTO Akquinet ES - producent SAST Suite) dla magazynu IT Management.
SIEM (Security Information and Event Management) ma na celu zapewnienie ochrony bezpieczeństwa środowisk IT dla przedsiębiorstw i organizacji. Połączenie Security Information Management (SIM) oraz Security Event Management (SEM) generuje analizę alertów bezpieczeństwa w czasie rzeczywistym. Zebranie, korelacja i analiza danych logów, komunikatów systemowych oraz alertów pozwala na identyfikację ataków, niecodziennych wzorców i niebezpiecznych trendów. Innymi słowy, SIEM dostarcza podgląd ważnych dla bezpieczeństwa zdarzeń w środowiskach IT wspierając proces spełniania wymagań prawnych oraz wewnętrznych polityk i zasad zgodności dla bezpieczeństwa IT. Zadania kluczowe: dostarczanie raportów dotyczących incydentów bezpieczeństwa jak na przykład pomyślne i błędne próby logowania czy złośliwe oprogramowanie oraz inne potencjalnie niebezpieczne działania. Następnie odbywa się przesłanie powiadomień w momencie gdy analiza wykaże czynność, która narusza zdefiniowany zbiór zasad i w konsekwencji stanowi potencjalny problem bezpieczeństwa.
Jak działa SIEM
Podczas gdy dane są konsolidowane w jednym miejscu, krytyczne aktywności mogą zostać wcześnie zidentyfikowane za pomocą wzorców analitycznych i trendów. Dane zebrane i zinterpretowane w czasie rzeczywistym oraz otrzymana informacja są zapisywane w formie niemodyfikowalnej. Powszechne źródła dla SIEM zawierają serwery, zapory, rutery, IPS (Intrusion Prevention System) oraz IDS (Intrusion Detection System). Ich dane są przekazywane do punktu centralnego gdzie zostają zapisane, znormalizowane, ustrukturyzowane oraz przeanalizowane. Analiza wykorzystuje zdefiniowane reguły, modele korelacyjne, machine learning oraz sztuczną inteligencję, celem wygenerowania zależności pomiędzy wpisami i identyfikacji anomaliów. W przeciwieństwie do innych środków bezpieczeństwa, w tym przypadku nie zapobiega się atakom z wyprzedzeniem, ale ich wpływ i rozprzestrzenienie się mogą zostać zredukowane na przykład poprzez alerty. Dodatkowo, takie alerty i zautomatyzowane raporty pozwalają na odpowiedzi na różnorodne ataki w czasie rzeczywistym jak i na późniejsze udokumentowanie incydentów bezpieczeństwa. Niestety, zasada ta jest mało skuteczna w systemach SAP.
ŚWIATY RÓWNOLEGŁE: SAP I SIEM
Sporo jest powodów, dla których między SIEM i SAP wynika sporo nieporozumień od samego początku: SIEM wywodzi się z klasycznej technologii sieciowej, na przykład z epoki DOS (Denial of Service) i Eternetu z wielkimi, samodzielnymi aplikacjami komputerowymi dla kont finansowych oraz zarządczych, controllingu i dla wielu innych, wszystkich niezależnych od siebie. W miarę gdy świat IT stawał się bardziej połączony, SIEM został wprowadzony, aby monitorować zdarzenia w warstwie sieciowej – zapytania o źródło informacji, kto ma do niego dostęp, co zostało uznane za poznane i co nie pasuje do założonych wzorców. W tym podejściu zbiór zasad jest kluczowy: są potrzebne do sprawdzania wystąpień w sieci i wyciągania wniosków dla bezpieczeństwa. Innymi słowy, narzędzia SIEM biorą pod uwagę infrastrukturę IT, a nie indywidualne aplikacje. Jednak w ubiegłych latach okazało się, iż aplikacje również powinny zostać wzięte pod uwagę, czy to Microsoft Dynamics czy narzędzia do planowania produkcji lub SPS (Strategic Project Solution) w produkcji. W przypadku SAP tutaj powstaje pewne „ale”: przecież SAP różni się znacznie od innych aplikacji również pod względem sieciowym. W SAP można wykonać wiele operacji, zarówno z rolami czy autoryzacjami i mając na uwadze aspekty bezpieczeństwa. Podczas gdy wiele mechanizmów jest podobnych do tych w IT, SAP posiada różnice w nomenklaturze i zbiorze zasad. W obszarze sprzętu sieciowego i pozostałych obszarów IT, SAP jest wirtualnie swoim własnym odrębnym światem z własnym językiem i dykcją. To właśnie dlatego wiele firm nadal oddziela grubą kreską SAPa od reszty obszaru IT.
SAP JEST IGNOROWANY PRZEZ SIEM – ALE NIE MUSI TAK BYĆ
Konwencjonalne narzędzia SIEM koncentrują się na identyfikacji niecodziennych zachowań wewnątrz infrastruktury. Jednak systemy SAP zostają często zignorowane. Jeśli nie został zapewniony dostęp do systemu SAP, SIEM jest w stanie zidentyfikować co najwyżej szum informacyjny z miliona linii logów. Nikt nie umie (i nie chce) tego interpretować). Innymi słowy, systemy SAP to martwy punkt dla większości narzędzi SIEM ponieważ nie zawierają one specyficznych dla SAPa wzorców sprawdzających. Oznacza to iż nie rozpoznają towarzyszących wzorów ataków i dlatego zespoły bezpieczeństwa nie wykrywają pewnych zagrożeń. Zdarzenia w systemach SAP mogą być niezauważalne na poziomie sieciowym.
Jedynym sposobem aby je zidentyfikować jest analiza samej aplikacji. Wynikiem tych problemów ze zrozumieniem częstokroć ignoruje się warstwę SAP, lub zajmuje się nią w ostatniej kolejności ponieważ prostsze jest zajmowanie się kwestiami, które się rozumie. Dlatego SAP jest często zaniedbywany w tej sferze: nawet firmy, które utrzymują bezpieczeństwo IT na wysokim poziomie i używają SIEM mają tendencję do ignorowania SAP, zarówno nieświadomie jak i intencjonalnie. Być może mają nadzieję, iż pracownicy SAP sami zajmą się weryfikacją lub że niekompletny SIEM będzie wystarczający lub może nie wiedzą o istnieniu możliwości zaradczych dla takich braków. CISO w przedsiębiorstwach, które korzystają z SIEM powinni zadać sobie pytanie: czy jestem pewien/pewna, iż poświęcam odpowiednią uwagę systemom SAP? Jeśli nie, powinni połączyć te dwa światy ponieważ jest to najrozsądniejsza rzecz jaką można w takiej sytuacji zrobić.
NAJLEPSZE Z DWÓCH ŚWIATÓW
Odkąd specjaliści sieciowi stworzyli wydajne narzędzia dostarczające przegląd sieci - mają tendencję do zapominania, że istnieją (oprócz ich własnego) inne światy. Osiągnięcie pełnej ochrony oznacza łączenie obu światów dla korzyści całego przedsiębiorstwa. To właśnie w takim momencie, oprogramowanie jak SAST SUITE wchodzi do gry. Oprogramowanie wyciąga zdarzenia z warstwy aplikacyjnej i transportów oraz tłumaczy je tak, aby środowiska SIEM mogły je zrozumieć. Wykrywanie ataków bazując na plikach logów i analizie ruchu sieciowego wymaga głębokiej wiedzy z zakresu potencjalnych ścieżek i wzorców, po których mogą nastąpić ataki. Inteligentne zarządzanie informacją jest niezbędne aby oszacować bezpieczeństwo danych tego rodzaju. Zdarzenia ważne dla bezpieczeństwa muszą zostać wyfiltrowane w oceanie danych i umiejscowione w odpowiednim kontekście.
Aby zidentyfikować ryzyka, SAST Security Radar nie tylko analizuje logi SAP, ale również integruje analizę konfiguracji i ról. SAST SUITE posiada funkcjonalności praktycznie out-of-the-box, która umożliwia przekazywanie informacji z SAP do istniejących SIEM, w których to informacje mogą być poddane dalszej analizie. Działa to zarówno w środowsiakch małych systemów SAP jak i niektórych większych globalnych środowisk klienckich, nawet z ponad 1000 systemów. Dodatkową korzyścią jest Security Dashboard: poprzez integrację z daleko sięgającym narzędziem SIEM, można skonsolidować wszystkie powiązane z bezpieczeństwem incydenty wykryte w systemach SAP S/4Hana z innymi obszarami IT. Dzięki temu SAP jest brany pod uwagę w SIEM a firmy mogą generować optymalne raporty bazujące na dashboardzie wyświetlające kompletny status bezpieczeństwa za pomocą jednego kliknięcia.
Ralf Kempf (CTO SAST SOLUTIONS)
Artykuł został oryginalnie opublikowany w magazynie it management magazine, Lipiec/Sierpień 2021 i jest dostępny na it-daily.net: https://www.it-daily.net/leser-service
