SAP Enterprise Threat Detection

Echtzeiterkennung von Cyber Angriffen auf SAP
Systeme mit SAP Enterprise Threat Detection
Martin Müller (Customer Value Sales Security)
SAP Deutschland SE
Public
Neue Möglichkeiten. Ziele einfacher erreichen.
Disclaimer
Die in diesem Dokument enthaltenen Informationen können ohne vorherige Ankündigung geändert
werden. Dieses Dokument wird ohne jede Gewährleistung seitens SAP bezüglich der Richtigkeit,
Vollständigkeit und Nutzung der enthaltenen Information und Angaben zur Verfügung gestellt. Es dient
ausschließlich Informationszwecken. SAP übernimmt keine Haftung für Fehler in dem oder für die
Vollständigkeit des Dokumentes, insbesondere nicht für die darin enthaltenen Informationen, Grafiken,
Links oder andere Angaben und Inhalte. SAP übernimmt keine Haftung für Schäden, weder
ausdrücklich noch stillschweigend, die sich aus dem Gebrauch des Dokumentes ergeben können,
insbesondere nicht für die Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die
Gewährleistung der Nichtverletzung geltenden Rechts, es sei denn, dass Schäden durch Vorsatz oder
grobe Fahrlässigkeit seitens SAP verursacht wurden. Hiervon umfasst sind insbesondere direkte,
besondere, indirekte Schäden sowie Begleit- und Folgeschäden.
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
2
Thema der Präsentation
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
3
Agenda
SAP Security Produkte: Ein Überblick
Herausforderungen für Sicherheitsmanagement
 Neue Bedrohungen im Cyber Space
 Ziele für ein effektives Sicherheitsmanagement
SAP Enterprise Threat Detection
 Lösungsweg zur Erreichung eines verbesserten Sicherheitsmanagement
DEMO - SAP Enterprise Threat Detection
Zusammenfassung
 Weitere Informationen zum Thema SAP Sicherheit
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
4
SAP Security Produkte
Ein Überblick
Die SAP Security Lösungen als einfache Übersicht „Whiteboard“
Security
Portfolio
Identity
Management
Single Sign-On
Access Control
Code
Vulnerability
Analyser
Enterprise Thread
Detection
Mobile Security
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
6
Aufbau des Whiteboards „SAP Security Suite“ I
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
7
Aufbau des Whiteboards „SAP Security Suite“ II
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
8
Aufbau des Whiteboards „SAP Security Suite“ III
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
9
Aufbau des Whiteboards „SAP Security Suite“ IV
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
10
Aufbau des Whiteboards „SAP Security Suite“ V
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
11
Aufbau des Whiteboards „SAP Security Suite“ VI
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
12
Security Produkte
SAP’s Portfolio von Sicherheitsanwendungen
IT application security – SAP portfolio
Identity and access management (IAM)
Identity, governance and
administration
•
•
•
•
•
•
Manage identity lifecycle
Segregation of duties
Emergency access
Role management
Reporting
…
SAP Identity
Management
SAP Access
Control
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Authentication and single signon
•
•
•
•
•
Single sign-on
Secure network communication
Central access policies
2-factor authentication
…
SAP Single
Sign-On
SAP Cloud
Identity
Code
vulnerabilities
Threat
management
Find
vulnerabilities
in customer
code
Detect cyber
crime attacks
based on user
behavior
SAP
NetWeaver
AS, add-on for
code
vulnerability
analysis
SAP
Enterprise
Threat
Detection
Platform
Security
features &
functions
User Mgmt
Connectivity
Authentication
Encryption
Digital Sigs
WS Security
SAP HANA
SAP
NetWeaver
Application
Server
Public
20
Sicherheitsmanagement
Herausforderungen
Fragen zu IT Sicherheit
Welche Arten von Cyber-Angriffen gibt es?
1
Angriffe auf die Vertraulichkeit
2
Angriffe auf die Integrität
3
Schutz vor unberechtigten Einblicke in vertrauliche Informationen
Manipulationen und Verfälschung von Daten
Angriffe auf die Verfügbarkeit
Sabotage von IT Diensten über z. B. Denial-of-Service-Angriffe (DDoS-Angriffe).
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
22
Fragen zu IT Sicherheit
Warum sind Cyber-Angriffe möglich?
Software-Schwachstellen (Implementierungs-Schwachstellen)
Design-Schwachstellen
Konfigurationsschwachstellen
Menschliche Fehlhandlungen
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
23
Täglich neue Sicherheitsmeldungen in den Nachrichten
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
24
Cyber Kriminalität im Wandel
Skill-Level und Professionalität
„Script-Kiddies“:
Publicity und
„Hacker-Ruhm“
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
„Angriff von
Innen“:
Verkauf von Insider
Informationen
Betrugshandlungen
„Paramilitärische
Organisationen“:
„Organisierte
Gezielte Angriffe auf
Kriminalität“:
kritische Infrastrukturen
mit Cyber Attacken
Betrügerische
Finanztransaktionen Spionage in großem
Umfang
Vertrieb von
vertraulichen
Gezielte politische
Firmendaten
Einflussnahme
Public
25
SAP’s IT Security heute…
SAP ist ein globales Unternehmen –
... unser Fokusgebiet ... IT Security für ...
1 globales Netzwerk
70 Länder,
> 220 Vertretungen
>
...verbindet
 72.267 Endbenutzer
 95.000 PCs/Laptops
 8.500 SAP Systeme
 >30.000 Server
 Mobile Geräte:
−
−
−
−
−
16.000 Blackberries
19.000 iPads,
20.000 iPhones
3.500 Androids
5.000 BYOD
 Zentrale Kerngeschäftssysteme
(inkl. ERP, HR, CRM, BW)
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
31
Security @ SAP
PREVENT*
A. Security Richtlinien
B. Security Prozesse
C. Security Awareness
D. Technische Security Maßnahmen
 Physische Maßnahmen
 Anti Virus Management
 Patch Management
 …
DETECT*
REACT*
A. Audits
B. Ständige Konfigurationsüberwachung
A. Security Response Prozesse
B. Technische Security Maßnahmen
 Network Admission Control
 Erweiterte Bedrohungsabwehr
 …
SAP Security Monitoring Center
* Beispielhafte Listen
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
33
SAP IT Security Monitoring (SMC)
 SAP Security Monitoring Center (SMC) ist ein dediziertes Team in der SAP verfügbar 24x7
 Definierte Log Events von unterschiedlichen Systemen und Sicherheitslösungen werden
zentral eingesammelt und analysiert
– Alarme werden ausgelöst für vordefinierte Szenarien
– Manuelle Analysen werden durchgeführt, um fortgeschrittene Angriffe zu identifizieren
Security Monitoring
Center
Zentrales Log
System
Infrastruktur Logs
Administrativen Aktivitäten
SAP
Internet
Szenarien
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
SAP
Cloud
Lösungen
Identifizieren
von auffälligem
Verhalten
Analyse,
Beurteilung und
Einberufung einer
Security
Taskforce
Security
Taskforce
Infrastruktur Logs
Administrativen Aktivitäten
SAP
interne
Geschäfts
systeme
SAP
Demo
Systeme
Initiieren von Verteidigungsmaßnahmen
(z.B. Block von angreifenden Benutzern)
Public
34
SAP IT Security Monitoring (SMC) bereits heute
Aktuelles Volumen*):
558.000.000
1,691
64
13,009
Ereignisse/Tag
Alarme/Tag
Vorfälle/Monat
überwachte Geräte
*)
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Basis Oktober 2013
Public
35
Es ist ein typisches Big Data Problem
Logfiles in einem SAP System
können zwischen 100k und 1 M
Rekords pro Stunde generieren
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
36
SAP Enterprise Threat Detection
Lösungsansatz
Überblick SAP Enterprise Threat Detection
SAP Enterprise Threat Detection
SAP
Systeme
Systemlandschaft
Logdaten
Extractor
User Interface
Dashboard
Alerts & KPIs
Browsing & Analysis,
Pattern Creation
Pattern Configuration,
Scheduling, & Monitoring
Nicht-SAP
Systeme
Log data
API
InfrastrukturKomponenten
Normalize &
enrich log data
• Store normalized log data
• Evaluate patterns
• Generate alerts
Alert API
SAP ESP & SAP HANA
Contextual Information
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
41
Datenmodell von SAP Enterprise Threat Detection
Normalisierung der
unterschiedlichen Log Dateien
 Information der Quelldateien bleibt
erhalten
 Vereinheitlichung der relevanten
Daten (User, Zeitstempel, …)
 Beibehaltung notwendiger
Informationen
Security
Audit Log
User
Change Log
… Log Business
Transaction
Log
Read
Access Log
HTTP Log
System Log
Unified Log
Generisches Datenmodell um
kundenspezifische Szenarien
abzudecken
Customerspecific Log
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
42
Sicherheitsmanagement
Erreichung der Ziele
Echtzeit-Monitoring / Patternauswertung




Sammeln von Logdaten aus der Systemlandschaft
Auswerten von Angriffsmustern durch Korrelation von Logs
Überblick der Bedrohungssituation
Automatisierte Reaktion auf kritische Alerts
Ad hoc-Analyse
 Analysieren von Verdachtsfällen
 Analysieren großer Mengen von sicherheitsrelevanten
Ereignissen und Anreicherung mit Kontextdaten
 Analyse von Compliance-Problemen
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
44
SAP Enterprise Threat Detection V1.0
Nutzerrollen
• Rollen: CSO, Security Operations und IT-Betrieb werden ausgeliefert
Log-Lieferanten
• Fokus auf ABAP-Systeme
• Vorhaltezeit der Logdaten je nach HANA-Sizing
Datenschutz
• Pseudonymisierung personenbezogener Daten
Angriffsregeln
• Erster Satz von Regeln, die Attacken auf SAP-Systeme erkennen
• Kunde kann eigene Regeln erstellen
Betriebsmodell
• On Premise
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
45
Demo: Angriff
Zusammenfassung
Zusammenfassung
Kernaussagen
 Die Gefahr durch interne wie auch externen Cyber Attacken steigt stetig an – bei gleichzeitig
erhöhter Komplexität
 Das Sicherheitsmanagement muss als ständiger Prozess im Unternehmen etabliert sein, um immer
neueren Angriffstechniken entgegen zu wirken
 Präventive Absicherunsmaßnahmen sind zwar die Grundlage für einen sicheren Systembetrieb,
reichen aber nicht aus
 Detektivische Maßnahmen sind notwendig um Cyber Attacken frühzeitig erkennen zu können und
den möglichen Schaden gering halten zu können
 SAP Enterprise Threat Detection ist eine neue SAP HANA basierte Anwendung um Cyber Attacken
in Echtzeit erkennen zu können.
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
49
Weitere Informationen zur SAP Security Suite unter
Die CIO Online mit generellen Informationen zu:
-
SAP Single Sign-On (SAP SSO)
http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-netweaver-sso/
-
SAP Identity Management (SAP IDM)
http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-netweaver-identity-management
-
/
SAP Enterprise Thread Detection (SAP ETD)
http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-enterprise-threat-detection/
SAP NetWeaver Application Server, Add-on for
Code Vulnerability Analysis (SAP CVA)
http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/code-analysis/
-
SAP Access Control (SAP AC)
http://www.sap-cio.de/neue-beitrage/losungen/analytics/sap-access-control/
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
50
Weitere Informationen
SAP Enterprise Threat Detection
http://scn.sap.com/docs/DOC-58501
Solution Brief
Protect Your Connected Business Systems by Identifying and Analyzing Threats
http://scn.sap.com/docs/DOC-58729
SAP Insider Article
Safeguard Your Business-Critical Data with Real-Time Detection and Analysis
http://scn.sap.com/docs/DOC-58841
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
55
Meine Kontaktdaten lauten:
Name
Martin Müller
Customer Value Sales Security
Presales Security
SAP Deutschland SE
Hasso Plattner Ring 7
68100 Walldorf, Germany
T +49 6227 7-61930
E mart.mueller@sap.com
W www.sap.com
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
56
Vielen Dank für Ihre
Aufmerksamkeit
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
© 2015 SAP SE oder ein SAP-Konzernunternehmen.
Alle Rechte vorbehalten.
Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche
Genehmigung durch SAP SE oder ein SAP-Konzernunternehmen nicht gestattet.
SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der
SAP SE (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit.
Weitere Hinweise und Informationen zum Markenrecht finden Sie unter http://global.sap.com/corporate-de/legal/copyright/index.epx.
Die von SAP SE oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten.
Produkte können länderspezifische Unterschiede aufweisen.
Die vorliegenden Unterlagen werden von der SAP SE oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken.
Die SAP SE oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation.
Die SAP SE oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen
Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren.
Insbesondere sind die SAP SE oder ihre Konzernunternehmen in keiner Weise verpflichtet, in dieser Publikation oder einer zugehörigen Präsentation dargestellte
Geschäftsabläufe zu verfolgen oder hierin wiedergegebene Funktionen zu entwickeln oder zu veröffentlichen. Diese Publikation oder eine zugehörige Präsentation,
die Strategie und etwaige künftige Entwicklungen, Produkte und/oder Plattformen der SAP SE oder ihrer Konzernunternehmen können von der SAP SE oder ihren
Konzernunternehmen jederzeit und ohne Angabe von Gründen unangekündigt geändert werden.
Die in dieser Publikation enthaltenen Informationen stellen keine Zusage, kein Versprechen und keine rechtliche Verpflichtung zur Lieferung von Material, Code oder
Funktionen dar. Sämtliche vorausschauenden Aussagen unterliegen unterschiedlichen Risiken und Unsicherheiten, durch die die tatsächlichen Ergebnisse von den
Erwartungen abweichen können. Die vorausschauenden Aussagen geben die Sicht zu dem Zeitpunkt wieder, zu dem sie getätigt wurden. Dem Leser wird empfohlen,
diesen Aussagen kein übertriebenes Vertrauen zu schenken und sich bei Kaufentscheidungen nicht auf sie zu stützen.
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
58
Launch pad
The launch pad is the main entry point to the
tools in SAP Enterprise Threat Detection
You can navigate to tools for:
 Working with alerts and investigations
 Configuring and executing patterns
 Viewing the results of executed patterns
 Creating patterns
 Browsing events
http://<HANAserver>:<port>/sap/hana/uis/clients/ushell-app/shells/fiori/FioriLaunchpad.html?siteId=sap.secmon.ui.mobile.launchpad|ETDLaunchpad
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
65
Dashboard
The dashboard provides an overview
of what is happening in the monitored
landscape
 You can reach the dashboard via the
launch pad
 Click on the tiles to navigate to related
tools
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
66
Dashboard tools
Event Browser
 Pre-filter the data using Advanced Filters
 Filtered and sort data by clicking on the labels above
the column headers
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Alert Browser
 The alert browser is similar to the event browser
 There is an additional function – Assign Set to
Investigation
Public
67
Browser for logs and alerts
When you browse events you are
essentially applying filters to the
normalized log data that exists in the
SAP HANA database
 A series of filter is referred to as a path
 You can visualize the data in various
ways
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
68