SAP systemen vormen de ruggengraat van veel organisaties, waaronder overheidsinstellingen. Ze beheren financiële stromen, controleren inkoopprocessen en zorgen voor een soepele werking. Tegelijkertijd tonen onderzoeken aan dat ongeveer 4% van de werknemers bereid is om tegen hun eigen organisatie op te treden, waardoor SAP-systemen niet alleen een doelwit zijn voor aanvallen van buitenaf, maar ook kwetsbaar zijn voor bedreigingen van binnenuit. Dit onderstreept de noodzaak om zowel ongeautoriseerde externe toegang als verdachte interne activiteiten te controleren.
De uitdaging: Veel bedrijven en overheidsinstellingen hebben al uitgebreide beveiligingsoplossingen, maar SAP blijft vaak een blinde vlek. Dit is waar ons werk om de hoek komt kijken. Het doel was om onze klanten volledig inzicht te geven in de beveiliging van hun SAP-systemen. Dit hebben we bereikt met onze uitgebreide SAP Security Monitoring & Threat Detection - niet als theoretisch concept, maar als praktische, implementeerbare oplossing met behulp van onze expertise en SAP-gecertificeerde Addon en Microsoft Sentinel als SIEM.
Waarom SAP beveiligingsmonitoring belangrijker is dan ooit
We zien dat veel SAP klanten al verschillende beveiligingsoplossingen hebben, maar er is nog steeds een grote kloof als het gaat om SAP. Er zijn maar heel weinig organisaties die de SAP applicatielaag controleren op kritieke gebeurtenissen, ook al is bijna iedereen het erover eens dat SAP een bedrijfskritische applicatie is.
Waarom is dat? Lange tijd was de integratie van SAP in een SIEM technisch complex. De volwassenheid van de oplossingen was onvoldoende, er was geen druk vanuit de regelgeving en CISO's waren huiverig om beveiligingseisen op te leggen aan SAP-teams. We zien nu echter een duidelijke verschuiving: Steeds meer organisaties vragen zich af hoe ze SAP kunnen integreren in hun SIEM, waardoor ze inzicht krijgen in wat eerst verborgen bleef en SAP niet langer een blinde vlek is in hun Security Operations Center (SOC).
De weg naar veilige SAP monitoring
De Zwitserse federale overheid werkt met een complex SAP-landschap dat essentieel is voor veel bedrijfskritische processen. Het SUPERB-programma, gebaseerd op SAP S/4HANA, speelt een centrale rol bij het standaardiseren en optimaliseren van administratieve processen binnen de Zwitserse overheid. Deze systemen beheren de financiële boekhouding, personeelszaken en inkoopprocessen - elke storing of compromis zou ernstige gevolgen hebben.
Van concept naar realiteit
Onze eerste stap was het integreren van SAP logboeken in Microsoft Sentinel. Het ging hierbij niet alleen om het verzamelen van gegevens, maar ook om de juiste interpretatie ervan.
Wat voor gebeurtenissen duiden op potentiële bedreigingen?
- Zijn het privilege escalaties, waarbij een gebruiker plotseling uitgebreide toegang krijgt?
- Verkeerd geconfigureerde systemen die aanvalsvectoren openen?
- Of nieuw, ongebruikelijk gebruikersgedrag dat duidt op een mogelijk compromis.
Samen met de IT-beveiligingsexperts van de Federale overheid implementeerden we een reeks regels om verdachte activiteiten te identificeren. Met behulp van Kusto Query Language (KQL) konden we specifiek zoeken naar patronen die duiden op ongeautoriseerde toegang of verdachte activiteiten.
We hebben dit project geïmplementeerd met behulp van onze SAP-gecertificeerde SAP-naar-Sentinel-connector. We hebben gekozen voor een gestructureerde aanpak voor de integratie van SAP logboeken in Microsoft Sentinel. In plaats van een abrupte uitrol implementeerden we de verbinding in vijf golven, elk bestaande uit vijf sprints om een soepele overgang te garanderen. Elke sprint introduceerde ongeveer 20 nieuwe detectieregels, waardoor we systematisch konden controleren op potentiële bedreigingen zoals privilege-escalaties, verkeerd geconfigureerde systemen en ongewoon gebruikersgedrag dat zou kunnen duiden op een beveiligingscompromis.
Toen de gegevensintegratie eenmaal succesvol was, was de volgende cruciale stap automatisering. Met Microsoft Sentinel waren we in staat om playbooks te maken die automatisch waarschuwingen activeerden en zelfs de eerste responsmaatregelen in gang zetten als er afwijkingen werden gedetecteerd. Een onverwachte beheerderslogin midden in de nacht? Er wordt automatisch een ticket gestuurd naar het incident response team. Meerdere mislukte inlogpogingen vanaf een onbekend IP-adres? Het betreffende account wordt onmiddellijk vergrendeld.
We legden ook bijzondere nadruk op het bewaken van niet alleen de SAP S/4HANA applicatieserver, maar ook de HANA database. Dit zorgde ervoor dat zowel de applicatielaag als de onderliggende gegevensopslag werden beschermd - een cruciaal voordeel ten opzichte van traditionele oplossingen.
SAP beveiligingsmonitoring op het scherpst van de snede
De resultaten spreken voor zich: SAP-systemen worden nu net zo bewaakt als alle andere bedrijfskritische toepassingen. Wat lang als een blinde vlek in het Security Operations Center (SOC) werd beschouwd, is nu volledig geïntegreerd. Door verbinding te maken met Microsoft Sentinel kan de beveiliging van SAP eindelijk worden bewaakt met dezelfde moderne tools en methoden die al standaard zijn op andere gebieden.
Een belangrijk onderdeel van dit succes was het gebruik van onze bewezen SAP-specifieke detectieregels voor Sentinel. Deze regels zijn het resultaat van de gecombineerde tientallen jaren ervaring van ons team in SAP-beveiliging, die we voortdurend optimaliseren en uitbreiden. Omdat ze identiek zijn voor alle SAP-systemen, kon de federale overheid profiteren van een al bestaande robuuste oplossing in plaats van het wiel opnieuw uit te vinden. Deze regels maken een nauwkeurige identificatie mogelijk van gebeurtenissen die cruciaal zijn voor de beveiliging en verminderen het aantal valse alarmen aanzienlijk. Gedurende het project werd duidelijk dat nauwe samenwerking tussen SAP en beveiligingsteams essentieel is. Alleen zo konden we ervoor zorgen dat de juiste gegevens werden vastgelegd, verwerkt en effectief gebruikt. Uiteindelijk was dit project meer dan alleen een technische implementatie - het vertegenwoordigde een verschuiving in de manier waarop SAP beveiliging zou moeten worden aangepakt.
Conclusie:
De integratie van SAP in Microsoft Sentinel heeft laten zien dat real-time analyse niet langer optioneel is, maar een vanzelfsprekendheid zou moeten zijn. Cyberaanvallen worden steeds geraffineerder en organisaties kunnen het zich niet langer veroorloven om pas te reageren nadat bedreigingen werkelijkheid zijn geworden. Wie zijn bedrijfskritische systemen echt wil beschermen, moet niet wachten op het volgende beveiligingsincident maar nu handelen door gecentraliseerde monitoring te implementeren. De Zwitserse federale overheid heeft deze stap genomen en profiteert nu van aanzienlijk meer transparantie en reactiesnelheid.
