Cosa puoi fare quando si parla di Cyber Security in ambito SAP?
Esiste uno strumento che SAP ha sviluppato chiamato SAP Enterprise Threat Detection che può essere utilizzato.
Si tratta di un aggregatore, analizzatore di dati provenienti dai sistemi SAP e non SAP che permette di identificare tramite dei pattern delle azioni o attività ritenute critiche.
Una volta individuati questi pattern o comportamenti sospetti, possono essere generate delle alert su cui effettuare le verifiche.
Questa è una domanda molto interessante e la risposta e sicuramente no. Si tratta di un prodotto complementare ad un eventuale SIEM già presente in azienda.
Guarda il video qui sotto sul perché è così importante averne uno!
Dicevamo, non sostituisce un SIEM già presente in quanto ad oggi i SIEM sono molto più orientati al trattamento dei dati dei sistemi come router, firewall, database, sistemi operativi.
Non sono pronti per essere usati con dei dati prettamente SAP centrici. Chiaramente possono essere collegati, per i più famosi sul mercato esistono dei connettori già presenti. Tuttavia i dati che vengono letti da SAP sono davvero una minima parte.
Spesso è necessario scriversi dei connettori ad hoc per poter tracciare tutti i dati che un SIEM dovrebbe gestire avendo come target i sistemi SAP.
Ma quindi se ho già un sistema SIEM in azienda potrebbe comunque servirmi?
E se non ho un SIEM mi può essere utile?
Per poterlo utilizzare serve una licenza, che deve essere acquistata. Il prodotto necessità inoltre di una macchina HANA, in quanto tutte le elaborazioni sfruttano le potenzialità di questo database.
Un esempio molto pratico. Una volta collegato a uno o più sistemi, ed attivati tutti i collettori dei log, tramite la funzionalità del Forensic Lab è possibile vedere tutti i dati presenti in ETD ed iniziare le analisi.
In alto a sinistra è possibile vedere infatti tutti gli eventi 23.411 generati nelle ultime 2 ore (è possibile impostare quando tempo tenere in considerazioni)
Tramite la definizione di percorsi "Path" è possibile iniziare a selezionare gli eventi di interesse. Nel caso sopra, ad esempio (parte sinistra) è stato filtrato dal totale eventi, solo quelli relativi al sistema S4H ed a seguito quelli relativi all'esecuzione del function module RFC_READ_TABLE.
Nel grafico sulla parte destra in alto è possibile vedere le utenze che hanno eseguito il function module selezionato (le utenze possono essere anonimizzate).
Fino a qui, quasi nulla di nuovo. Tuttavia è da segnalare che è possibile creare n path e relazionare i dati tra loro. Con l'obiettivo, ad esempio, di creare dei pattern.
Tramite la funzionalità di Creazione Pattern (Create Pattern) è possibile creare un "comportamento" che potrà poi essere associato ad un alert.
Una alert può essere creata definendo diversi criteri e mostrando i dati necessari a capire di cosa si tratta.
Una volta costruite le alert, queste possono essere analizzate dagli specialisti security per approfondire la problematica oppure effettuare un fine tuning delle regole.
Guarda qui un caso reale di utilizzo della function RFC_READ_TABLE:
Utile inoltre la funzionalità per visualizzare le minacce in maniera grafica. A colpo d'occhio, in base alla legenda, ai colori ed alle dimensioni è possibile capire se nel sistema sta accadendo qualcosa di rilevante.
Più semplice vederlo che descriverlo, guarda il breve video qui sotto.
Un prodotto che non solo permette quindi di "imparare", correlare, effettuare investigazioni. Ma contiene già molte librerie tra pattern e template pronti all'uso.