Het aantal security-incidenten neemt hand over hand toe. Zelfs gerenommeerde organisaties die hun IT goed op orde lijken te hebben, worden slachtoffer van phishing of ransomware. Deze incidenten leiden tot schade op verschillende terreinen: financiële schade, imagoschade, maar ook continuïteitsproblemen doordat applicaties of soms volledige bedrijfsnetwerken niet meer beschikbaar zijn. Alle reden dus om de risico’s goed inzichtelijk te maken en afgewogen beslissingen te nemen welke risico’s worden geaccepteerd en welke gemitigeerd.
Beveilig je kroonjuwelen
In deze risico-inventarisatie neemt SAP een bijzondere plek in. Enerzijds omdat in deze software de kroonjuwelen van een organisatie zitten: namelijk klantgegevens en financiële gegevens. Anderzijds omdat de meeste organisaties relatief weinig aandacht besteden aan preventieve applicatiebeveiliging. Ze brengen de risico’s onvoldoende in kaart en nemen daarmee ook geen maatregelen om die risico’s te mitigeren. In SAP is weliswaar de ‘segregation of duties’ (het afschermen van informatie met rollen en rechten) goed geregeld, maar dat wil nog niet zeggen dat de applicatie goed is beveiligd. Daar bovenop komt dan nog eens het probleem dat de monitoring van events lastig is. Traditionele SIEM-producten slagen er niet in om SAP te bewaken. Dat betekent dat SAP door de meeste Security Operations Centers (SOC’s) niet in de gaten wordt gehouden.
Monitor wat er in SAP gebeurt
Security officers en risk managers staan daarmee voor een uitdaging: uitgerekend van het systeem dat de meest kritische informatie bevat, weten ze niet waar de kwetsbaarheden liggen. En omdat ze met de SIEM-producten waar ze mee werken en/of de SOC-dienstverlener die ze inhuren die omgeving evenmin goed kunnen monitoren, weten ze ook niet welke risico’s zich hebben voorgedaan. Als je niet weet waar de risico’s liggen, wordt het onmogelijk die te mitigeren.
SAP-securityteam
Het preventief beveiligen van het SAP-platform, inclusief besturingssysteem en database, is een specialisme. Hetzelfde geldt voor monitoring wat er allemaal in je SAP-omgeving gebeurt, zodat je verdachte handelingen kunt opsporen. Organisaties zullen deze kennis en expertise moeten opbouwen of inhuren. Voor myBrand is dit enkele jaren geleden aanleiding geweest om een securityteam op te richten dat onder meer de volgende diensten levert:
- Vulnerability management & hardening voor SAP:
- Vulnerability management: een continu proces gericht op het identificeren, classificeren, prioriteren, remediëren en mitigeren van softwarekwetsbaarheden;
- Hardening: een proces waarbij overbodige functies worden uitgeschakeld en een veilige configuratie op een juiste wijze wordt toegepast, zoals bijvoorbeeld het wijzigen van standaard wachtwoorden, uitschakelen van niet gebruikte webservices en toepassen van sterke encryptie;
- Security Monitoring voor SAP: het detecteren van verdachte activiteiten binnen de SAP-omgeving, deze analyseren en hierover rapporteren en reageren richting de klant.
Van de drie takken van sport in security – preventie, detectie en respons – focussen wij ons dus met name op de eerste twee. Op het moment dat we een inbraak in de SAP-omgeving waarnemen, werken wij nauw samen met degenen die bij onze klant verantwoordelijk zijn voor security. Dat kan een intern team zijn of een extern SOC. Deze securityverantwoordelijken bij de klant zijn in de lead bij het ‘oppakken van de inbrekers’. Uiteraard dichten wij daarna in overleg met de security officer de kwetsbare plek af waar de inbrekers hebben weten binnen te dringen.
Benieuwd naar de mogelijkheden voor jouw organisatie? Neem dan contact met ons op.
Hoe sluit SAP Security aan bij jouw informatiebeveiliging?
In dit Webinar praten we met klanten en specialisten over de verschillende aspecten van SAP Security. Aan de hand van de stappen uit het cybersecurity framework (prevent, detect, respond & recover) kijken we naar een aantal SAP specifieke beveiligingsrisico’s en de wijze waarop deze kunnen worden aangepakt.
Webinar terugkijken
Patrick Mensink
Information Security Officer bij myBrand
Let's connect
