Top-5 mythes rond beveiliging van SAP-systemen
Een vals gevoel van zekerheid opent vaak de deur naar gevaren. Dat geldt ook voor de beveiliging van SAP-systemen, die ondanks de voortdurende inspanningen van de softwarefabrikant nog altijd dringend aan verbetering toe is. Veel ICT-managers bij bedrijven zien nieuwe bedreigingen over het hoofd of onderschatten de inspanning die nodig is om hun SAP-omgeving en bedrijfsprocessen effectief te beschermen. Het ontbreekt hen vaak ook aan de daarvoor benodigde middelen. Veel bedrijven verkeren daarmee in schijnzekerheid. Hierbij waarschuwen voor vijf misvattingen en uitvluchten die zij vaak te horen krijgen wanneer zij met ICT-managers over de beveiliging van SAP-omgevingen spreken:
Mythe 1: "We patchen onze SAP-systemen met grote regelmaat."
ICT-afdelingen hebben hun handen vol aan het installeren van nieuwe SAP-patches. Veel van hen komen hier niet aan toe, omdat de installatie van elke update zeer arbeidsintensief is. De meeste patches zijn bovendien niet relevant voor de beveiliging. Meestal bieden ze functionele verbeteringen en oplossingen voor technische problemen. Het toepassen van patches die relevant zijn voor de beveiliging zonder eerst een analyse van de infrastructuur en bedrijfsprocessen uit te voeren, kan weer nieuwe risico’s met zich meebrengen. Veel ICT-managers zijn zich daarnaast niet bewust van het feit dat er volgens de analyses van Onapsis meestal 18 maanden liggen tussen de introductie van een nieuwe bedreiging voor SAP-systemen en het uitbrengen van een relevante patch — een bijzonder lange tijdslacune.
Mythe 2: "Ons SAP-platform is alleen intern benaderbaar."
Tegenwoordig bestaat er niet langer zoiets als een voor de buitenwereld afgesloten netwerk. Vrijwel iedere ICT-infrastructuur kent wel achterdeurtjes waarlangs externe partijen toegang kunnen krijgen tot interne ICT-platforms en bedrijfsprocessen. Veel SAP-systemen zijn met internet verbonden via internetapplicaties, SAP HANA of SAP Mobile. Daarnaast zijn er SAP-omgevingen die in de cloud zijn ingericht. Veel gebruikers zijn zich er zich niet van bewust dat toegang via een app ook toegang tot alle SAP-instances kan betekenen. Cybercriminelen kunnen met gerichte spear phishing-aanvallen op individuele medewerkers de hiervoor benodigde aanmeldingsgegevens bemachtigen. Verder hebben ook leveranciers toegang tot SAP-platforms. Deze toegang kan door hen worden misbruikt of door derden ingezet voor aanvallen. En dan zijn er nog de interne gebruikers die mobiele verbindingen voor hun persoonlijk gewin zouden kunnen gebruiken en klantenportalen die als springplank naar SAP-systemen kunnen worden gebruikt.
Mythe 3: "Ons beveiligingsteam heeft oog voor de gevaren."
Veel beveiligingsteams hanteren voornamelijk de klassieke aanpak van ‘segregation of duties’ (scheiding van taken). Het idee is om alle aspecten van de beveiliging te ondervangen door beheer en bewaking van alle gebruikersrollen en toegangsrechten. Deze aanpak is zinvol, maar biedt geen volledige zekerheid. Veel aanvallen richten zich namelijk op de transactielaag, waarmee de voordelen van een SoD-aanpak teniet worden gedaan. De verantwoordelijke teams beschikken vaak niet over de vaardigheden, hulpmiddelen en medewerkers die nodig zijn om veiligheidslekken in de transactielaag te dichten en aanvallen daarop af te slaan.
Daarnaast zijn de verantwoordelijkheden rond de beveiliging van SAP-systemen vaak slecht verdeeld. Veel CISO’s delegeren deze taak naar beveiligingsbeheerders die niet over specifieke SAP-expertise beschikken. In andere organisaties spelen afdelingen en managers elkaar de zwarte piet toe. Toekomstgerichte bedrijven hebben er reeds voor gezorgd dat de benodigde competenties aanwezig zijn en stellen technische tools beschikbaar waarmee elke medewerker zich van diens taak kan kwijten. Veel organisaties hebben op dit gebied echter nog veel werk te verrichten.
Mythe 4: "Dat kunnen alleen de allerbeste aanvallers!"
Deze uitspraak is te kort door de bocht, want hij scheert alle aanvallers over één kam. De technische vaardigheden van oneerlijke concurrenten, wraakzuchtige ex-werknemers, hacktivisten en cyberspionnen die in opdracht van overheden handelen, moeten niet worden onderschat. Tegenwoordig kunnen zelfs getalenteerde script kiddies voldoende informatie en instructies op internet vinden om aanvallen op SAP-systemen uit te voeren.
Mythe 5: "We stappen binnenkort op SAP HANA over, en dan zijn we veilig."
SAP HANA zal niet alle problemen uit de wereld helpen. Hoe populairder het platform wordt, des te aantrekkelijker het wordt voor aanvallers. SAP is zich van deze problematiek bewust en treft reeds de nodige beveiligingsmaatregelen. In 2014 nam het aantal patches met 450 procent toe ten opzichte van het jaar daarvoor. 82 procent daarvan viel in de categorie “hoge prioriteit”.
We voeren in opdracht van onze klanten penetratietests uit om de beveiliging van hun SAP-systemen te beoordelen. De resultaten van deze tests spreken boekdelen. De meeste systemen vertonen ernstige beveiligingslekken. HANA zal geen oplossing bieden voor deze problemen, en dat kan men ook van geen enkel platform verwachten. Naast uitgebreide ondersteuning door SAP en klassieke beveiligingsbenaderingen zoals SOD en GRC is er een grondige risico-evaluatie van de transactielaag nodig, of het nu gaat om SAP Netweaver of SAP HANA. Oplossingen die SAP-systemen snel en automatisch op kwetsbaarheden controleren, aanvallen in real-time detecteren en afslaan, ICT-afdelingen automatisch dwingen tot het toepassen van beveiligingsmaatregelen en afwijkende gebruikspatronen signaleren, blijven onmisbaar.
Door: Gerhard Unger, vicepresident EMEA/APAC bij Onapsis
