Meten is weten. In het big data-tijdperk waarin we tegenwoordig leven, kunnen we steeds meer meten. De securitywereld maakt daar dankbaar gebruik van. Alles wordt inzichtelijk: wie heeft wanneer welke applicatie of database geraadpleegd? Welke informatie is daarbij ingezien of gewijzigd? Vanaf welke locatie is ingelogd of geprobeerd in te loggen? En ga zo maar door. In logbestanden is alles inzichtelijk.

Security monitoring voor SAP was een ondergeschoven kindje

Tot voor kort was het vrijwel onmogelijk om SAP-logbestanden te beheren en te bewaken. De tooling was er wel, maar deze was zeer gefragmenteerd en niet gestandaardiseerd. Bovendien konden de bestaande SIEM-platformen in de markt SAP niet uitlezen, waardoor het praktisch onmogelijk was om de security centraal en buiten de SAP-applicatie te bewaken. SAP had weliswaar een eigen securitymonitoringtool (SAP Enterprise Threat Detection) ontwikkeld, maar deze technologie is zo duur dat alleen de grootste bedrijven er gebruik van maakten. Derhalve detecteerde het leeuwendeel van de SAP-klanten niet wat er in hun SAP-omgeving gebeurde.

myBrand heeft deze klantbehoefte herkend en is een samenwerking aangegaan met twee partners die gespecialiseerd zijn in SAP Security Monitoring. Wij leveren deze additionele dienst als onderdeel van de huidige dienstverlening en zijn het centrale aanspreekpunt voor klanten. Wij kennen immers onze klanten goed en snappen de uitdagingen van onze klant op dit vlak.

Combineren en correleren van data geeft inzicht

De kracht van deze SAP-monitoring ligt in een aantal aspecten:

  • het combineren van verschillende databronnen;
  • het centraal opslaan van logging (geen kans op logmanipulatie vanuit de applicatie);
  • het automatisch normaliseren en correleren van enorme hoeveelheden logdata met een SIEM-platform;
  • het actief bewaken van risico’s en dreigingen door een bewezen SIEM-platform (Qradar);
  • het opvolgen van risico’s vanuit het myBrand SOC-team.

We werken met use cases die een (ongewenste) situatie beschrijven en bewaken deze door de inzet van een geautomatiseerd platform. Dit platform combineert veel verschillende soorten data en gaat volautomatisch op zoek naar patronen die kunnen wijzen op ongeoorloofde toegang. Een kwaadwillende zal immers niet open en bloot proberen in te loggen. Hij gebruikt bijvoorbeeld een privileged SAP-account, zoals SAP*. Wanneer je detecteert dat iemand met dit account inlogt, terwijl het beleid is dat dit account niet gebruikt mag worden in een productief systeem, kun je hier direct op acteren. Of de kwaadwillende achterhaalt via phishing de credentials van een medewerker en doet zich als iemand anders voor. Combineer je echter iemands credentials met de locatie van waar hij of zij inlogt, dan zie je ineens wat vreemds: die medewerker komt nooit in China, maar heeft nu wel vanuit China ingelogd.

Leren van ieder incident

Uiteraard worden de security-incidenten meegenomen in het vulnerability management en de hardening. Met andere woorden: de kwetsbaarheid die bij het onderzoek naar de inbraak aan het licht komt, wordt gedicht. Dat resultaat is direct te zien in de risicohistorie die myBrand voor klanten bijhoudt: het aantal security-incidenten zal afnemen. Het fijne gevoel dat de maatregelen effect hebben is echter niet de enige reden waarom we die historie bijhouden. Net als bij de coronagrafieken geeft namelijk ook de risicografiek inzicht in veranderende factoren. Als in de coronagrafieken de besmettingscijfers stijgen terwijl de maatregelen niet zijn afgezwakt, kan dat duiden op een besmettelijker variant van het virus of op onvoldoende naleving van de maatregelen. Op diezelfde manier kun je in de SAP-risicografiek nieuwe risico’s ontdekken doordat bij gelijkblijvende maatregelen het aantal incidenten toeneemt. Je weet dan dat de omstandigheden zijn gewijzigd en zult op zoek moeten naar de aanleiding hiervan.

Detectie net zo belangrijk als preventie

Zeker in de huidige tijd, waarin aanvallen steeds geavanceerder worden en er steeds vaker en sneller nieuwe aanvalstechnieken opduiken, is detectie net zo belangrijk als preventie. Want hoeveel je ook investeert in vulnerability management en hardening, vroeg of laat kan het altijd wel iemand lukken om ongezien je SAP-omgeving binnen te dringen en zo klantgegevens te stelen, financiële informatie in te zien of misschien zelfs (onderdelen van) je IP te stelen. Investeer daarom niet alleen in preventie, maar ook in security monitoring. Want alleen een snelle detectie stelt je in staat om tijdig aanvullende maatregelen te nemen.

Ben jij benieuwd welke detectiemaatregelen je specifiek voor je SAP-omgeving zou moeten nemen? Bekijk dan het onderstaande Webinar over beveiliging van je SAP-landschap.

SAP Security IT ERP ISO

Hoe sluit SAP Security aan bij jouw informatiebeveiliging?

In dit Webinar praten we met klanten en specialisten over de verschillende aspecten van SAP Security. Aan de hand van de stappen uit het cybersecurity framework (prevent, detect, respond & recover) kijken we naar een aantal SAP specifieke beveiligingsrisico’s en de wijze waarop deze kunnen worden aangepakt.

Naar het Webinar
SAP Security consultant Eelco Kums

Eelco Kums
Information Security Officer bij myBrand