Sicherung von SAP BTP – Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung

Willkommen zum neuesten Teil unserer Reihe zum Thema SAP BTP-Sicherheit. Bisher haben wir die Herausforderungen behandelt, denen Kunden begegnen, wenn sie versuchen, dieses neue, kritische Asset in ihrer Landschaft zu schützen, und wie sie diese überwinden und ein erfolgreiches Vulnerability Management-Programm für BTP aufbauen können.

Der nächste logische Schritt – und das andere wichtige Element des proaktiven Anwendungssicherheitspuzzles – ist die kontinuierliche Sicherheitsüberwachung. Wie ich bereits in der Vergangenheit erläutert habe und wie NIST und SAP (in Zusammenarbeit mit Onapsis) empfehlen, besteht der effektivste Ansatz zum Schutz von Anwendungen wie BTP darin, punktuelle Schwachstellenscans mit einer kontinuierlichen Überwachung auf Anzeichen von Kompromittierung zu kombinieren.

Neben der Erkennung von Anzeichen einer Kompromittierung ist die kontinuierliche Überwachung Ihrer BTP-Protokolle auf verdächtige oder unbefugte Änderungen an der Anwendungskonfiguration oder den Benutzereinstellungen aus mehreren Gründen wichtig:

• Überwachung der Benutzeraktivitäten: Kunden, einschließlich derjenigen im RISE with SAP-Programm, sind für die Verfolgung ihrer SAP-Benutzer, deren Verhalten und die Zugriffskontrolle verantwortlich.
• Behandlung von Benutzerzugriffskontrollen: Änderungen an Benutzerberechtigungen und -rollen können eine Kontrollverletzung und einen potenziellen Auditbefund darstellen.
• Identifizierung von Konfigurationsabweichungen: Kunden sind auch dafür verantwortlich, sicherzustellen, dass ihre Anwendungen sicher konfiguriert sind und den Best Practices entsprechen.

Herausforderungen für eine erfolgreiche SAP BTP-Sicherheitsüberwachung

Wie Sie vielleicht schon vermuten, wenn Sie diese Serie gelesen haben, ist die Sicherheitsüberwachung ein weiterer Bereich, in dem die Entwicklung eines erfolgreichen Programms für SAP schwieriger ist, als es scheint. Zu den Herausforderungen für BTP und SAP-Anwendungen im Allgemeinen gehören:

• Identifizierung verdächtiger oder bedrohlicher Aktivitäten: Die meisten der bestehenden Überwachungstools, auf die sich Sicherheitsteams verlassen, bieten keine ausreichende Unterstützung für SAP, geschweige denn für eine neuere Anwendung wie BTP. Ihnen fehlen die Erkennungsregeln und Informationen, die Teams benötigen, um Bedrohungen oder unbefugte Änderungen an SAP tatsächlich zu identifizieren und darauf zu reagieren. Daher sind Teams auf manuelle Protokollüberprüfungen angewiesen, die zeitaufwändig und fehleranfällig sind und natürlich umfangreiche interne Kenntnisse der SAP-Aktivitäten und der sich ständig weiterentwickelnden SAP-Bedrohungslandschaft erfordern.
• Priorisierung und Reaktion auf identifizierte Bedrohungen: Selbst wenn Teams verdächtige Aktivitäten in den Protokollen erfolgreich identifizieren können, sind oft umfangreiche Untersuchungen und Analysen erforderlich, um zu verstehen, ob diese verdächtigen Aktivitäten tatsächlich eine Bedrohung darstellen, welche potenziellen Auswirkungen sie haben und wie darauf reagiert werden muss.

Wie wir wissen, ist Zeit bei der Reaktion auf Vorfälle von entscheidender Bedeutung. Dies gilt insbesondere angesichts der kritischen Bedeutung von SAP und der neuen Fristen für die Offenlegung schwerwiegender Vorfälle (z. B. US-SEC-Vorschriften, EU-NIS2), die in Kraft getreten sind. Sich auf manuelle Maßnahmen zu verlassen, wie oben beschrieben, ist nicht nur unpraktisch, sondern erhöht auch das Risiko. Böswillige Aktivitäten können unbemerkt bleiben, Reaktionszeiten können sich verzögern und Schwachstellen können übersehen werden. Um hier erfolgreich zu sein, benötigen Unternehmen eine zuverlässige, automatisierte Lösung zur Überwachung von Bedrohungen, die speziell für SAP entwickelt wurde und ihre Maßnahmen zur Reaktion auf Vorfälle beschleunigt.

SAP BTP-Bedrohungsüberwachung leicht gemacht mit Onapsis

Wir haben kürzlich Onapsis Defend-Support für SAP BTP veröffentlicht, mit dem unsere Kunden ihre Bedrohungs- und Sicherheitsüberwachung auf dieses kritische Asset mit BTP-spezifischen Erkennungsregeln und leistungsstarken, kontextreichen Warnmeldungen ausweiten können, um die Reaktion auf Vorfälle zu beschleunigen. Defend for BTP konzentriert sich auf Rollenzuweisungen und Konfigurationsänderungen und hilft Kunden, einschließlich denen, die RISE with SAP nutzen, ihre Verantwortlichkeiten im Zusammenhang mit Benutzeraktivitäten und App-Konfigurationen besser zu verwalten. Damit erhalten sie ein Frühwarnsystem für unbefugte Änderungen in diesen Bereichen, die ein Hinweis auf Kompromittierung, Insider-Bedrohungen oder Kontrollverstöße sein könnten.

Defend for BTP geht direkt auf die oben beschriebenen Herausforderungen ein:

• Identifizierung verdächtiger oder bedrohlicher Aktivitäten: Onapsis Defend überwacht SAP BTP-Protokolle automatisch mit vordefinierten Erkennungsregeln, die speziell auf SAP BTP zugeschnitten sind und auf den besten Sicherheitspraktiken von SAP sowie den neuesten Bedrohungsinformationen aus den Onapsis Research Labs basieren. Manuelle Protokollüberprüfungen sind nicht erforderlich, und interne Teams müssen sich nicht über die sich ständig weiterentwickelnde SAP-Bedrohungslandschaft auf dem Laufenden halten. Mit Defend for BTP erhalten Kunden Echtzeit-Warnmeldungen zu kritischen Konfigurationsänderungen und falschen oder übermäßigen Rollenzuweisungen, die kritische Daten, Geschäftsabläufe und die Compliance gefährden.
• Priorisierung und Reaktion auf identifizierte Bedrohungen: Die Echtzeit-Warnmeldungen von Defend, die in SIEMs integriert werden können, machen Ihre SOC-Analysten zu SAP-Experten. Ihre Teams können mit wertvollen Details zu Schweregrad, Ursache und empfohlenen Abhilfemaßnahmen schneller fundierte Entscheidungen treffen.

Die Automatisierung und die umfassenden Informationen von Defend beschleunigen die Analyse und Bearbeitung von Vorfällen und unterstützen die oben genannten neuen Offenlegungsfristen (z. B. EU NIS2, US SEC-Vorschriften) – für BTP und den Rest Ihrer kritischen SAP-Landschaft.

Die Sicherung von SAP BTP reicht nicht aus: Warum Sie auch den darin entwickelten Code schützen müssen

Bisher habe ich mich hauptsächlich auf die Sicherung von BTP selbst als Anwendung konzentriert. In meinem nächsten Beitrag werde ich mich mit der Sicherung der Aktivitäten Ihrer Benutzer in BTP befassen, nämlich dem Schreiben von Code und dem Erstellen neuer Anwendungen.

Natürlich ist es äußerst wichtig, dass der Code qualitativ hochwertig und sicher ist, aber dieser Prozess darf die Ziele und Zeitpläne für die Anwendungsbereitstellung nicht behindern. Seien Sie gespannt auf den nächsten Teil dieser Reihe, in dem ich näher auf die Herausforderungen eingehen werde, denen Unternehmen bei der sicheren Codeentwicklung in BTP gegenüberstehen, und wie sie diese bewältigen können.

Source: Onapsis-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html