Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I den seneste Computerworld-klumme i serien om SAP-sikkerhed kommer Mikkel Heltborg Terp og Balder Borup ind på nogle vigtige aspekter af SAP-sikkerhed.
Jeg mener dog, at der mangler nogle enkelte nuancer.
For udover Terps og Borups vigtige pointer, så mener jeg først, at man kan opnå optimal SAP-sikkerhed, når man har fået styr på sin logning – gerne i realtid – og nedbrudt silotænkningen i virksomheden, så man kan få SAP-afdelingen og cybersikkerhedsafdelingen til at arbejde tæt sammen.
SAP er markedsleder, når det handler om at forbedre og systematisere virksomheders interne processer – blandt andet indenfor økonomi og lagerstyring.
Ifølge de senest offentliggjorte tal fra den tyske gigant bruger omkring 44 procent af de 200 største danske virksomheder SAP.
SAP-systemer rummer store mængder forretningskritiske data og er på mange måder bæreren af intellektuel ejendomsret og hemmelighederne bag en given virksomheds succes.
Det gør SAP til et attraktivt mål for de cyberkriminelle.
For at beskytte virksomheder, der bruger SAP, er det derfor vigtigt at forstå det grundlæggende i SAP's egne sikkerhedsforanstaltninger – herunder deres svagheder.
Jeg vil derfor give mine vigtigste tips til, hvad man skal gøre som større virksomhed i forhold til at sikre sine SAP-systemer optimalt med en 360-graders holistisk tilgang til sikkerhed.
SAP-sikkerhed for begyndere
Først fremmest er det vigtigt at vide, at SAP’s egne sikkerhedsforanstaltninger dækker funktioner som bruger- og identitetsstyring, adgangskontrol og autorisationer, kodesikkerhed, netværkssikkerhed, OS-sikkerhed, databasesikkerhed og endpoint-/klientsikkerhed.
SAP leverer de mest almindelige SAP-sikkerhedsværktøjer: SAP Solution Manager og SAP Governance Risk and Compliance (SAP GRC).
Større SAP-miljøer administreres typisk ved hjælp af SAP Focused Run. SAP har også udgivet SAP Enterprise Threat Detection – nu forfremmet til ”SAP SIEM” (Security Information and Event Management) for at opfylde kravet om at overvåge SAP sikkerhedshændelser og aktivitet i næsten realtid.
Her er det vigtigt at være opmærksom på, at det kræver en helt anden holistisk tilgang, der rækker ud over SAP-systemet, når SAP-systemer skal beskyttes ordentligt.
Hullet mellem SAP-afdelingen og cybersikkerhedsafdelingen
Historisk set er SAP-sikkerhed baseret på værktøjer leveret af SAP selv. Det er typisk administreret af SAP-afdelingen, som ofte er en del af økonomiafdelingen eller it-driftsafdelingen.
Det er desværre min erfaring, at der sjældent er samarbejde mellem SAP-afdelingen og den cybersikkerhedsafdeling, der administrerer sikkerheden i virksomhedens bredere infrastruktur.
Virksomhederne glemmer ofte at forene disse to nøgleafdelingers kræfter i forsvaret af deres mest værdifulde og sårbare aktiver.
For mens cybersikkerhedsafdelinger mangler viden om SAP-sikkerhed, mangler SAP-afdelinger ofte grundlæggende viden om cybersikkerhed.
Denne siloopdeling af sikkerhedsinformation er en væsentlig hindring for en holistisk 360-graders tilgang til cybersikkerhed.
Hullet begrænser muligheden for at opdage og reagere på sikkerhedshændelser og efterlader SAP-systemer sårbare over for cyberkriminelle, der nemt kan trænge ind i SAP-systemet via hullet.
Cybersikkerhedskløften
De fleste cybersikkerhedsafdelinger i større danske virksomheder har implementeret en SIEM-platform, som indsamler og analyserer sikkerhedsrelevant information i realtid.
SIEM er designet til at modtage og analysere millioner af hændelser om dagen og identificere trusler baseret på foruddefinerede regler og anomalier i brugernes adfærd.
En SIEM indsamler data fra alle netværksenheder, identitets- og adgangsstyringssystemer, endpoints, servere og databaser, it-infrastruktur, operativsystemer og applikationer.
I modsætning hertil fokuserer SAP Enterprise Threat Detection udelukkende på overvågning af SAP-relaterede sikkerhedsoplysninger.
Det understøtter ikke korrelationen af SAP-data med hændelser uden for SAP-systemet – altså den data, der indsamles af SIEM i cybersikkerhedsafdelingen.
Dette isolerer SAP-sikkerhed på "sin egen ø", hvilket skaber et hul mellem SAP-sikkerhed og cybersikkerhed, fordi man dels undlader at udnytte de afgørende, kontekstuelle sikkerhedsoplysninger fra den omgivende it-infrastruktur, og dels undlader at udnytte cybersikkerhedsafdelingens kompetencer.
Den holistiske SAP-SIEM-platform
Den moderne tilgang til SAP-sikkerhed er holistisk og baseret på kombinationen af SAP-relateret sikkerhedsinformation med den kontekstuelle sikkerhedsinformation fra den omgivende it-infrastruktur, som ligger i cybersikkerhedsafdelingens SIEM-platform.
Den holistiske tilgang giver SAP-sikkerhedsteams mulighed for at bruge de avancerede analysemuligheder i SIEM-platforme, herunder User and Entity Behavior Analytics (UEBA), som er baseret på machine learning.
Det gør dem i stand til at supplere den standard regelbaserede tilgang, baseret på kendte trusler, med evnen til at opdage ukendte trusler og ukendt mistænkelig adfærd.
Det kan for eksempel være en pludselig, usædvanlig finansiel transaktion fra en højt profileret SAP-brugers konto.
Næste generation af SAP-SIEM-platforme automatiserer håndteringen af sikkerhedshændelser, så de allerede pressede sikkerhedsansvarlige får mere tid.
Og det er godt, for mens avancerede analyser og automatisering af cybersikkerhed vil hjælpe, er der ingen tvivl om, at menneskelige færdigheder i SAP og cybersikkerhed vil være en meget efterspurgt i fremtiden.
Der vil være behov for nye færdigheder, der kombinerer ekspertise inden for SAP-sikkerhed og cybersikkerhed.
Integrationen af SAP i et SIEM er det eneste sted, hvor SAP-sikkerhed og cybersikkerhed kan mødes for at skabe det afgørende holistiske overblik.
Der er for farligt at blive i siloerne.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
