SAP Enterprise Threat Detection
Transcription
SAP Enterprise Threat Detection
Echtzeiterkennung von Cyber Angriffen auf SAP Systeme mit SAP Enterprise Threat Detection Martin Müller (Customer Value Sales Security) SAP Deutschland SE Public Neue Möglichkeiten. Ziele einfacher erreichen. Disclaimer Die in diesem Dokument enthaltenen Informationen können ohne vorherige Ankündigung geändert werden. Dieses Dokument wird ohne jede Gewährleistung seitens SAP bezüglich der Richtigkeit, Vollständigkeit und Nutzung der enthaltenen Information und Angaben zur Verfügung gestellt. Es dient ausschließlich Informationszwecken. SAP übernimmt keine Haftung für Fehler in dem oder für die Vollständigkeit des Dokumentes, insbesondere nicht für die darin enthaltenen Informationen, Grafiken, Links oder andere Angaben und Inhalte. SAP übernimmt keine Haftung für Schäden, weder ausdrücklich noch stillschweigend, die sich aus dem Gebrauch des Dokumentes ergeben können, insbesondere nicht für die Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts, es sei denn, dass Schäden durch Vorsatz oder grobe Fahrlässigkeit seitens SAP verursacht wurden. Hiervon umfasst sind insbesondere direkte, besondere, indirekte Schäden sowie Begleit- und Folgeschäden. © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 2 Thema der Präsentation © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 3 Agenda SAP Security Produkte: Ein Überblick Herausforderungen für Sicherheitsmanagement Neue Bedrohungen im Cyber Space Ziele für ein effektives Sicherheitsmanagement SAP Enterprise Threat Detection Lösungsweg zur Erreichung eines verbesserten Sicherheitsmanagement DEMO - SAP Enterprise Threat Detection Zusammenfassung Weitere Informationen zum Thema SAP Sicherheit © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 4 SAP Security Produkte Ein Überblick Die SAP Security Lösungen als einfache Übersicht „Whiteboard“ Security Portfolio Identity Management Single Sign-On Access Control Code Vulnerability Analyser Enterprise Thread Detection Mobile Security © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 6 Aufbau des Whiteboards „SAP Security Suite“ I © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 7 Aufbau des Whiteboards „SAP Security Suite“ II © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 8 Aufbau des Whiteboards „SAP Security Suite“ III © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 9 Aufbau des Whiteboards „SAP Security Suite“ IV © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 10 Aufbau des Whiteboards „SAP Security Suite“ V © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 11 Aufbau des Whiteboards „SAP Security Suite“ VI © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 12 Security Produkte SAP’s Portfolio von Sicherheitsanwendungen IT application security – SAP portfolio Identity and access management (IAM) Identity, governance and administration • • • • • • Manage identity lifecycle Segregation of duties Emergency access Role management Reporting … SAP Identity Management SAP Access Control © 2015 SAP SE or an SAP affiliate company. All rights reserved. Authentication and single signon • • • • • Single sign-on Secure network communication Central access policies 2-factor authentication … SAP Single Sign-On SAP Cloud Identity Code vulnerabilities Threat management Find vulnerabilities in customer code Detect cyber crime attacks based on user behavior SAP NetWeaver AS, add-on for code vulnerability analysis SAP Enterprise Threat Detection Platform Security features & functions User Mgmt Connectivity Authentication Encryption Digital Sigs WS Security SAP HANA SAP NetWeaver Application Server Public 20 Sicherheitsmanagement Herausforderungen Fragen zu IT Sicherheit Welche Arten von Cyber-Angriffen gibt es? 1 Angriffe auf die Vertraulichkeit 2 Angriffe auf die Integrität 3 Schutz vor unberechtigten Einblicke in vertrauliche Informationen Manipulationen und Verfälschung von Daten Angriffe auf die Verfügbarkeit Sabotage von IT Diensten über z. B. Denial-of-Service-Angriffe (DDoS-Angriffe). © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 22 Fragen zu IT Sicherheit Warum sind Cyber-Angriffe möglich? Software-Schwachstellen (Implementierungs-Schwachstellen) Design-Schwachstellen Konfigurationsschwachstellen Menschliche Fehlhandlungen © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 23 Täglich neue Sicherheitsmeldungen in den Nachrichten © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 24 Cyber Kriminalität im Wandel Skill-Level und Professionalität „Script-Kiddies“: Publicity und „Hacker-Ruhm“ © 2015 SAP SE or an SAP affiliate company. All rights reserved. „Angriff von Innen“: Verkauf von Insider Informationen Betrugshandlungen „Paramilitärische Organisationen“: „Organisierte Gezielte Angriffe auf Kriminalität“: kritische Infrastrukturen mit Cyber Attacken Betrügerische Finanztransaktionen Spionage in großem Umfang Vertrieb von vertraulichen Gezielte politische Firmendaten Einflussnahme Public 25 SAP’s IT Security heute… SAP ist ein globales Unternehmen – ... unser Fokusgebiet ... IT Security für ... 1 globales Netzwerk 70 Länder, > 220 Vertretungen > ...verbindet 72.267 Endbenutzer 95.000 PCs/Laptops 8.500 SAP Systeme >30.000 Server Mobile Geräte: − − − − − 16.000 Blackberries 19.000 iPads, 20.000 iPhones 3.500 Androids 5.000 BYOD Zentrale Kerngeschäftssysteme (inkl. ERP, HR, CRM, BW) © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 31 Security @ SAP PREVENT* A. Security Richtlinien B. Security Prozesse C. Security Awareness D. Technische Security Maßnahmen Physische Maßnahmen Anti Virus Management Patch Management … DETECT* REACT* A. Audits B. Ständige Konfigurationsüberwachung A. Security Response Prozesse B. Technische Security Maßnahmen Network Admission Control Erweiterte Bedrohungsabwehr … SAP Security Monitoring Center * Beispielhafte Listen © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 33 SAP IT Security Monitoring (SMC) SAP Security Monitoring Center (SMC) ist ein dediziertes Team in der SAP verfügbar 24x7 Definierte Log Events von unterschiedlichen Systemen und Sicherheitslösungen werden zentral eingesammelt und analysiert – Alarme werden ausgelöst für vordefinierte Szenarien – Manuelle Analysen werden durchgeführt, um fortgeschrittene Angriffe zu identifizieren Security Monitoring Center Zentrales Log System Infrastruktur Logs Administrativen Aktivitäten SAP Internet Szenarien © 2015 SAP SE or an SAP affiliate company. All rights reserved. SAP Cloud Lösungen Identifizieren von auffälligem Verhalten Analyse, Beurteilung und Einberufung einer Security Taskforce Security Taskforce Infrastruktur Logs Administrativen Aktivitäten SAP interne Geschäfts systeme SAP Demo Systeme Initiieren von Verteidigungsmaßnahmen (z.B. Block von angreifenden Benutzern) Public 34 SAP IT Security Monitoring (SMC) bereits heute Aktuelles Volumen*): 558.000.000 1,691 64 13,009 Ereignisse/Tag Alarme/Tag Vorfälle/Monat überwachte Geräte *) © 2015 SAP SE or an SAP affiliate company. All rights reserved. Basis Oktober 2013 Public 35 Es ist ein typisches Big Data Problem Logfiles in einem SAP System können zwischen 100k und 1 M Rekords pro Stunde generieren © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 36 SAP Enterprise Threat Detection Lösungsansatz Überblick SAP Enterprise Threat Detection SAP Enterprise Threat Detection SAP Systeme Systemlandschaft Logdaten Extractor User Interface Dashboard Alerts & KPIs Browsing & Analysis, Pattern Creation Pattern Configuration, Scheduling, & Monitoring Nicht-SAP Systeme Log data API InfrastrukturKomponenten Normalize & enrich log data • Store normalized log data • Evaluate patterns • Generate alerts Alert API SAP ESP & SAP HANA Contextual Information © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 41 Datenmodell von SAP Enterprise Threat Detection Normalisierung der unterschiedlichen Log Dateien Information der Quelldateien bleibt erhalten Vereinheitlichung der relevanten Daten (User, Zeitstempel, …) Beibehaltung notwendiger Informationen Security Audit Log User Change Log … Log Business Transaction Log Read Access Log HTTP Log System Log Unified Log Generisches Datenmodell um kundenspezifische Szenarien abzudecken Customerspecific Log © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 42 Sicherheitsmanagement Erreichung der Ziele Echtzeit-Monitoring / Patternauswertung Sammeln von Logdaten aus der Systemlandschaft Auswerten von Angriffsmustern durch Korrelation von Logs Überblick der Bedrohungssituation Automatisierte Reaktion auf kritische Alerts Ad hoc-Analyse Analysieren von Verdachtsfällen Analysieren großer Mengen von sicherheitsrelevanten Ereignissen und Anreicherung mit Kontextdaten Analyse von Compliance-Problemen © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 44 SAP Enterprise Threat Detection V1.0 Nutzerrollen • Rollen: CSO, Security Operations und IT-Betrieb werden ausgeliefert Log-Lieferanten • Fokus auf ABAP-Systeme • Vorhaltezeit der Logdaten je nach HANA-Sizing Datenschutz • Pseudonymisierung personenbezogener Daten Angriffsregeln • Erster Satz von Regeln, die Attacken auf SAP-Systeme erkennen • Kunde kann eigene Regeln erstellen Betriebsmodell • On Premise © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 45 Demo: Angriff Zusammenfassung Zusammenfassung Kernaussagen Die Gefahr durch interne wie auch externen Cyber Attacken steigt stetig an – bei gleichzeitig erhöhter Komplexität Das Sicherheitsmanagement muss als ständiger Prozess im Unternehmen etabliert sein, um immer neueren Angriffstechniken entgegen zu wirken Präventive Absicherunsmaßnahmen sind zwar die Grundlage für einen sicheren Systembetrieb, reichen aber nicht aus Detektivische Maßnahmen sind notwendig um Cyber Attacken frühzeitig erkennen zu können und den möglichen Schaden gering halten zu können SAP Enterprise Threat Detection ist eine neue SAP HANA basierte Anwendung um Cyber Attacken in Echtzeit erkennen zu können. © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 49 Weitere Informationen zur SAP Security Suite unter Die CIO Online mit generellen Informationen zu: - SAP Single Sign-On (SAP SSO) http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-netweaver-sso/ - SAP Identity Management (SAP IDM) http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-netweaver-identity-management - / SAP Enterprise Thread Detection (SAP ETD) http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/sap-enterprise-threat-detection/ SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis (SAP CVA) http://www.sap-cio.de/neue-beitrage/losungen/database-technologie/code-analysis/ - SAP Access Control (SAP AC) http://www.sap-cio.de/neue-beitrage/losungen/analytics/sap-access-control/ © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 50 Weitere Informationen SAP Enterprise Threat Detection http://scn.sap.com/docs/DOC-58501 Solution Brief Protect Your Connected Business Systems by Identifying and Analyzing Threats http://scn.sap.com/docs/DOC-58729 SAP Insider Article Safeguard Your Business-Critical Data with Real-Time Detection and Analysis http://scn.sap.com/docs/DOC-58841 © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 55 Meine Kontaktdaten lauten: Name Martin Müller Customer Value Sales Security Presales Security SAP Deutschland SE Hasso Plattner Ring 7 68100 Walldorf, Germany T +49 6227 7-61930 E [email protected] W www.sap.com © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 56 Vielen Dank für Ihre Aufmerksamkeit © 2014 SAP SE or an SAP affiliate company. All rights reserved. © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP SE oder ein SAP-Konzernunternehmen nicht gestattet. SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP SE (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit. Weitere Hinweise und Informationen zum Markenrecht finden Sie unter http://global.sap.com/corporate-de/legal/copyright/index.epx. Die von SAP SE oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Produkte können länderspezifische Unterschiede aufweisen. Die vorliegenden Unterlagen werden von der SAP SE oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken. Die SAP SE oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation. Die SAP SE oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren. Insbesondere sind die SAP SE oder ihre Konzernunternehmen in keiner Weise verpflichtet, in dieser Publikation oder einer zugehörigen Präsentation dargestellte Geschäftsabläufe zu verfolgen oder hierin wiedergegebene Funktionen zu entwickeln oder zu veröffentlichen. Diese Publikation oder eine zugehörige Präsentation, die Strategie und etwaige künftige Entwicklungen, Produkte und/oder Plattformen der SAP SE oder ihrer Konzernunternehmen können von der SAP SE oder ihren Konzernunternehmen jederzeit und ohne Angabe von Gründen unangekündigt geändert werden. Die in dieser Publikation enthaltenen Informationen stellen keine Zusage, kein Versprechen und keine rechtliche Verpflichtung zur Lieferung von Material, Code oder Funktionen dar. Sämtliche vorausschauenden Aussagen unterliegen unterschiedlichen Risiken und Unsicherheiten, durch die die tatsächlichen Ergebnisse von den Erwartungen abweichen können. Die vorausschauenden Aussagen geben die Sicht zu dem Zeitpunkt wieder, zu dem sie getätigt wurden. Dem Leser wird empfohlen, diesen Aussagen kein übertriebenes Vertrauen zu schenken und sich bei Kaufentscheidungen nicht auf sie zu stützen. © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 58 Launch pad The launch pad is the main entry point to the tools in SAP Enterprise Threat Detection You can navigate to tools for: Working with alerts and investigations Configuring and executing patterns Viewing the results of executed patterns Creating patterns Browsing events http://<HANAserver>:<port>/sap/hana/uis/clients/ushell-app/shells/fiori/FioriLaunchpad.html?siteId=sap.secmon.ui.mobile.launchpad|ETDLaunchpad © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 65 Dashboard The dashboard provides an overview of what is happening in the monitored landscape You can reach the dashboard via the launch pad Click on the tiles to navigate to related tools © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 66 Dashboard tools Event Browser Pre-filter the data using Advanced Filters Filtered and sort data by clicking on the labels above the column headers © 2015 SAP SE or an SAP affiliate company. All rights reserved. Alert Browser The alert browser is similar to the event browser There is an additional function – Assign Set to Investigation Public 67 Browser for logs and alerts When you browse events you are essentially applying filters to the normalized log data that exists in the SAP HANA database A series of filter is referred to as a path You can visualize the data in various ways © 2015 SAP SE or an SAP affiliate company. All rights reserved. Public 68