Effiziente Erkennung und Reaktion auf Cyberangriffe in kritischen SAP-Systemen
Mit diesen Tools können Sie sich schützen
Dieser Blog befasst sich mit der Frage, wie die Elemente des NIST-Frameworks threat detection, response and recovery in einer SAP-Umgebung effektiv eingesetzt werden können und welchen Mehrwert Arvato Systems seinen Kunden bei der effektiven Anwendung des NIST-Frameworks bietet.
Die Erkennung von Cyber-Bedrohungen ist eine wachsende Herausforderung
Die Zahl der Cyberangriffe nimmt weiter zu. In der ersten Jahreshälfte 2022 wurden weltweit rund 236,1 Millionen Ransomware-Angriffe gemeldet und die durchschnittlichen Kosten einer Datenschutzverletzung sind weltweit von 3,5 Millionen US-Dollar im Jahr 2014 auf 4,35 Millionen US-Dollar im Jahr 2022 gestiegen.
Ungeachtet der bestehenden Cybersicherheitsmaßnahmen bleiben die Chancen für Hacker nach wie vor hoch. Unternehmen müssen Tausende von Komponenten in ihrem gesamten System überwachen und sichern, während ein Hacker lediglich eine einzige Schwachstelle ausfindig machen muss, um erfolgreich einzudringen.
Malware kann so konzipiert werden, dass sie über lange Zeiträume unentdeckt im System verbleibt. Laut dem IBM Cost of a Data Breach Report 2022 betrug die durchschnittliche Zeit bis zur Entdeckung und Eindämmung einer Datenpanne im Jahr 2022 277 Tage. Eigene Untersuchungen von Arvato Systems deuten darauf hin, dass ein Hacker im Netzwerk etwa 69 Tage lang unentdeckt bleiben kann. Wir raten unseren Kunden, ausgefeilte Erkennungsfunktionen zu implementieren, die diese Zeit auf ein Minimum und im besten Fall auf Null reduzieren.
Eine frühzeitige Erkennung kann den betrieblichen, finanziellen und rufschädigenden Schaden minimieren, den eine Sicherheitsverletzung verursachen kann.
Frühzeitige Erkennung und Reaktion erfordert mehrschichtige Informationen
Die Zeiten, in denen Bedrohungen durch eine einzige Schicht von Antiviren-Software und Firewall-Regeln erkannt und bekämpft werden konnten, sind längst vorbei. Heute beruht die Erkennung auf minutengenauen Informationen über Aktivitäten und auf einer detaillierten Überwachung der Aktivitäten in der Infrastruktur, den Anwendungen und den Datenkomponenten.
Das Security Operations Center (SOC) wird zur Grundvoraussetzung
Die Beauftragung eines spezialisierten SOC ist für mittlere bis große Unternehmen praktisch eine Grundvoraussetzung. In den meisten Fällen bedeutet dies ein externes SOC mit speziellem Fachwissen, minutengenauem Zugang zu branchenweiten Bedrohungsdaten und einem ausgefeilten Toolset. Dieses ist erforderlich, um einen Angriff zu erkennen, der sich möglicherweise nur durch geringfügige Verhaltensänderungen über mehrere Schichten und Komponenten hinweg zeigt.
Den meisten SOCs fehlt es an spezifischem SAP-Sicherheits-Know-how. Umso wichtiger ist es für SAP-Anwender, ein SOC zu wählen, das die notwendigen Sicherheits-Tools in die IT-Infrastruktur eines Unternehmens integrieren und die Sensoren der Sicherheitslösungen mit den relevanten SAP-Systemen verbinden kann.
Security Information and Event Management (SIEM) und Extended Detection and Response (XDR) Tools erfüllen die Anforderung, Sicherheitsinformationen und -ereignisse über mehrere Komponenten hinweg in Echtzeit zu kombinieren und zu analysieren, um eine schnelle Reaktion zu ermöglichen.
Bis August 2022 war es schwierig, SAP mit bestehenden Sicherheitslösungen zu verbinden. Jetzt schließt Microsoft Sentinel solution for SAP applications, eine gemeinsame Entwicklung von SAP und Microsoft, diese Lücke. Es wird auf einem Docker-Container installiert und arbeitet im entsprechenden Netzwerksegment der SAP-Umgebung, unabhängig davon, ob sich das SAP-System on-premise oder in der Azure-, Google- oder AWS-Cloud befindet.
Komplexe Erkennung und Reaktion erfordern Orchestrierung
Die schnelle Identifizierung und Analyse verdächtiger Aktivitäten über mehrere Komponenten hinweg erfordert eine automatisierte Orchestrierung.
Security Orchestration Automation and Responses (SOAR) ist innerhalb von Microsoft Sentinel ein Tool , das es ermöglicht, sicherheitsrelevante Daten systemübergreifend zu sammeln und zu korrelieren und somit die Reaktion auf einen Vorfall weitestgehend zu automatisieren. Das passiert, indem es über eine API mit einem anderen Sensor kommuniziert und so das erforderliche Protokollvolumen minimiert. Auf diese Weise können Unternehmen schneller auf Cyberangriffe reagieren.
Wiederherstellung erfordert sorgfältige Planung
Cybersecurity-Strategien und -Planungen müssen davon ausgehen, dass es zu Sicherheitsverletzungen kommen wird, weshalb ein vollständig entwickelter und geprobter Wiederherstellungsprozess von Daten und Systemen unerlässlich ist.
Bei dieser Planung muss berücksichtigt werden, dass jeder vollautomatische Prozess von Hackern ausgenutzt werden kann. So können Ransomware-Angriffe beispielsweise auf automatisierte Backup-Prozesse abzielen, um die Datenwiederherstellung zu behindern.
Bei SAP-Systemen ist die Betriebskritikalität ein wichtiger Faktor. Die SAP-Plattform für längere Zeit abzuschalten, um einen Angriff einzudämmen oder Wiederherstellungsprozesse durchzuführen, ist aus geschäftlicher Sicht wahrscheinlich keine sinnvolle Option.
Umfassende IT-Expertise, ein hohes Maß an technischem Verständnis, fundierte Branchenkenntnisse und gelebte Partnerschaft - das ist Arvato Systems.
Bei der Absicherung geschäftskritischer SAP-Implementierungen kann Arvato Systems auf strategische Partnerschaften mit wichtigen Anbietern - Microsoft, Google Cloud und AWS - sowie auf die bewährte SAP-Expertise eines SAP Gold Partners zurückgreifen.
Verfasst von