SAP Security Monitoring & Incident Response Management für
SAP Enterprise Threat Detection
Unternehmen sind mit einer zunehmenden Zahl von Cyberangriffen auf ihre SAP-Systeme konfrontiert, meist ohne zu wissen, dass ihre Daten gefährdet sind. Der wirksamste Schutz ist die Implementierung eines Security Monitoring und Incident-Response-Prozesses, um Schwachstellen zu erkennen und zu beheben, bevor sie ausgenutzt werden können.
Cyberangriffe wurden im „The Global Risks Report 2020“ des Weltwirtschaftsforums als eines der fünf größten Risiken eingestuft und werden in den nächsten Jahren weiter zunehmen, da sich allein die IoT-Cyberangriffe bis 2025 verdoppeln dürften. Infolge der COVID-19-Pandemie mussten fast alle Branchen schnell neue Lösungen implementieren (z. B. Fernzugriffe), was Angreifern eine noch größere Angriffsfläche bietet.
Untersuchungen zufolge haben Unternehmen großen Handlungsbedarf, da die Entdeckungsrate nur bei etwa 0,05 % liegt. Das bedeutet, dass die meisten Cyberangriffe unbemerkt bleiben, so dass die Hacker viel Zeit haben, die Landschaft zu erkunden und an die gewünschten Daten zu gelangen. Eine langsame Reaktion auf einen Datendiebstahl kann Ihrem Unternehmen noch mehr Probleme bereiten und zu einem Verlust des Kundenvertrauens und der Produktivität sowie hohen Geldstrafen führen.
Um Ihre Unternehmenswerte vor jeglicher Art von Cyberattacken zu schützen, bieten wir umfassende Dienstleistungen im Bereich SAP Security Monitoring & Incident Response Management für SAP Enterprise Threat Detection (ETD) an:
- SAP Security Monitoring und SIEM-Integration
- Incident Response Management
- Beratung und Unterstützung bei der Behebung von Schwachstellen
- Forensische Analysen
SAP Security Monitoring und SIEM-Integration
SAP Security Monitoring ist ein lebendiger Prozess, den wir permanent betreiben. Mit unserem spezialisierten SAP Security Monitoring Team sind wir in der Lage, Bedrohungen oder verdächtige Aktivitäten (Events) innerhalb Ihrer SAP-Landschaft zu entdecken und Gegenmaßnahmen zu ergreifen, um Ihre wertvollsten Assets zu schützen – Ihre Daten.
Durch die kontinuierliche Überwachung mit SAP Enterprise Threat Detection (SAP ETD) analysieren unsere SAP-Sicherheitsspezialisten die von SAP ETD zur Verfügung gestellten Ereignisse (Alerts) und bewerten, ob es sich um autorisierte Zugriffe oder mögliche Sicherheitsvorfälle handelt, bei denen Gegenmaßnahmen ergriffen werden müssen. Reaktionsschnelligkeit ist für uns entscheidend. Nach Aufnahme des Alerts von SAP Enterprise Threat Detection durch unser SAP Security Monitoring Team kommen Prozessautomatismen zum Tragen, die im Laufe der Tätigkeiten auf Basis der Historie (Anzahl Alerts pro Use-Case) entwickelt werden. Die Entwicklung von Prozessautomatismen ist ein integraler Bestandteil unserer Arbeitsweise, um möglichst viele manuelle Arbeitsschritte zu vermeiden.
Um ein SAP Security Monitoring erfolgreich in Ihre gesamten IT-Sicherheitsprozesse zu integrieren, können wir SAP ETD auch in ein SIEM (Security Information and Event Management) System integrieren und die Brücke zu Ihrem SOC (Security Operation Center) bauen. Indem wir unser Fachwissen über SAP Security & Compliance einbringen, sind wir eine wertvolle Ergänzung für Ihr SOC, um alle Sicherheitsspezifika abzudecken, die mit der SAP-Technologie einhergehen.
Incident Response Management
Der Schlüssel für ein erfolgreiches Incident Response Management ist der richtige Prozess, der in der Lage ist, bei Bedarf Gegenmaßnahmen zu ergreifen. Die anfängliche Kategorisierung und Priorisierung von Incidents ist ein entscheidender Schritt, um zu bestimmen, wie der Incident behandelt wird und wie viel Zeit für seine Lösung zur Verfügung steht. Unserem Best-Practice-Ansatz folgend, lässt sich unser Incident Response Management Prozess wie folgt zusammenfassen:
Schritt 1: Incident logging
Im ersten Schritt wird der Alert untersucht und bewertet, um zu entscheiden, ob direkt ein Ticket erstellt wird oder zunächst weitere Investigationen vorgenommen werden müssen. Alle Incidents werden protokolliert und nachverfolgt, so dass eine vollständige historische Aufzeichnung vorhanden ist, um Ihnen aussagekräftige Informationen zu liefern.
Schritt 2: Kategorisierung und Priorisierung von Incidents
Die Incidents werden automatisch in der Reihenfolge ihrer Kritikalität kategorisiert, um die Lösungszeit durch die Verwendung automatischer Ticketregeln zu bestimmen, was wertvolle Zeit im Prozess spart. Die Zuordnung der richtigen Priorität zu einem Ticket wirkt sich direkt auf den nachfolgenden Prozess der Analyse aus.
Schritt 3: Zuweisung von Incidents und Erstellung von Aufgaben
Sobald der Incident kategorisiert und priorisiert ist, wird er einem unserer SAP-Sicherheitsspezialisten mit dem entsprechenden Fachwissen zugewiesen. Je nach Komplexität des Incidents können die Gegenmaßnahmen in Teilaktivitäten oder Aufgaben aufgeteilt werden, wenn für die weitere Untersuchung unterschiedliche Fachkenntnisse von mehreren Spezialisten erforderlich sind.
Schritt 4: SLA-Management und Eskalation
Die Reaktions- und Lösungszeit wird im SLA (Service Level Agreement) festgelegt und dient als Richtlinie, um sicherzustellen, dass ein Incident gemäß den vereinbarten Bedingungen bearbeitet wird. Wenn ein SLA verletzt wird, eskalieren wir den Vorfall, um eine schnelle und priorisierte Lösung in einem gemeinsamen Ansatz mit Ihrer IT-Sicherheitsorganisation zu gewährleisten.
Schritt 5: Lösung des Incidents
Wir betrachten einen Incidents als gelöst, sobald unsere SAP-Sicherheitsspezialisten eine temporäre Umgehung oder eine dauerhafte Lösung finden, die das festgestellte Problem behebt. Die Lösung des Incidents wird im Ticket-System beschrieben und alle relevanten Stellen informiert.
Schritt 6: Abschluss des Incidents
Für den Abschluss des Incidents werden alle weiteren relevanten Informationen und eine Beschreibung des Risikos dokumentiert. Der Incident wird im Ticket-System geschlossen, sobald das Problem behoben ist und die Lösung von den Verantwortlichen akzeptiert wird.
Post Incident Review
Nachdem ein Incident abgeschlossen wurde, gehört es zu unseren bewährten Verfahren, alle Schritte zu dokumentieren, die zur Lösung des Incidents und zur Verhinderung eines erneuten Auftretens (wenn möglich) unternommen wurden. Die Überprüfung nach einem Incident unterstützt die Organisation und bereitet sie auf künftige Vorfälle vor, die ähnlichen Szenarien folgen, was zu einer Verkürzung der Lösungszeit und einer effektiveren Reaktion führt. Aufgrund der Überprüfung und Dokumentation können weitere Automatismen entwickelt werden, zur Vereinheitlichung der Vorgehensweise von gleichartigen Vorfällen.
Beratung und Unterstützung bei der Behebung von Schwachstellen
Wenn unser SAP Security Monitoring und Incident Response Team Bedrohungen oder verdächtige Aktivitäten entdeckt, handeln wir schnell, um diese zu untersuchen und entweder gemeinsam mit Ihnen gründliche Gegenmaßnahmen zu erarbeiten oder die Mitigation vollständig zu übernehmen. Im Rahmen unserer Dienstleistung beraten wir Ihr Unternehmen bei der Ergreifung von Präventivmaßnahmen und unterstützen die Prozesse zur Schadensbegrenzung. Auf diese Weise verbessern wir gemeinsam jeden Tag Ihre Sicherheit und Compliance Ihrer SAP-Systeme.
Forensische Analysen
Wird ein tatsächlicher Cyberangriff durch entsprechende Alerts von SAP ETD entdeckt bzw. angezeigt, untersuchen und dokumentieren unsere Forensiker den Verlauf, die Gründe, die Schuldigen und die Folgen des Sicherheitsvorfalls oder der Verletzung von Regeln der Organisation oder staatlicher Gesetze. Durch unsere Erfahrung mit SAP-Angriffsvektoren sind wir oft in der Lage, das Szenario zu rekonstruieren und Beweise für weitere rechtliche Schritte zu liefern. Die einzige Möglichkeit für Unternehmen sich zu verteidigen, besteht darin, die Angriffe präzise und schnell zu erkennen und darauf zu reagieren.
Für weitere Informationen zu unserem Managed Service für SAP Enterprise Threat Detection, setzen Sie sich bitte direkt mit uns in Verbindung.