Whitepaper: ERP meets SIEMThomas Meindl

www.it-cube.de iT-CUBE SYSTEMS AG

ERP trifft SIEM – Die Integration der wichtigsten Businessapplikation Dieses Whitepaper soll aufzeigen, warum es Sinn macht das Logging eines ERP-Systems (Enterprise Resource Planning) wie z. B. SAP® ERP in ein SIEM-System (Security Information and Event Management) wie z.B. HPE ArcSight ESM zu integrieren.

SIEM Evolution

Traditionelle SIEM Implementationen

Die Notwendigkeit für den Einsatz eines SIEM-Systems ist unbestritten. Dies ist der Tatsache geschuldet, dass jedes Security Device einer IT-Infrastruktur Ereignisse protokolliert, die erst im Kontext mit den Ereignissen anderer Devices, Rückschlüsse (z.B. durch Korrela-tion) und Aussagen auf möglicherweise sicherheitsrelevante Aktivitäten zulassen. Security Devices der IT-Infrastruktur sind zum Beispiel Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS), Schwachstellenscanner (Vulnerability Scanner) und Anti-Virus Scanner.

Ein Standard Anwendungsfall der Korrelation eines SIEM-Systems ist das Verknüpfen von Schwachstelleninformationen mit Events von IDS/IPS-Systemen. Beide Devices liefern Events an das SIEM, welches die Korrelation zwischen Angriff (IDS/IPS) und Verwundbarkeit (Schwachstellenscanner) ermöglicht. Bei heutigen SIEM-Projekten werden nach wie vor zuerst infrastruktur- und securityrelevante Logs integriert. Die nächste Iteration beinhaltet dann üblicherweise die Integration der Logdaten von Betriebssystemen und Datenbanken.

Der Reifegrad des Security Monitorings in Unternehmen ist in erster Linie daran zu erkennen, welche Logquellen in das SIEM-System integriert sind und welche Anwendungsfälle (Use Cases) dadurch ermöglicht und umgesetzt werden.

SIEM Evolution – What’s next?

Unternehmen haben mittlerweile erkannt, dass sie die Intelligenz ihres SIEM-Systems noch weiter steigern können, indem sie zusätzli-che Logfeeds integrieren. Auf der einen Seite können Metadaten aus einem Active Directory (AD), einer Configuration Management Database (CMDB) oder externen Security Intelligence Feeds (z.B. HPE Threat Central) die Aussagekraft von Logdaten im SIEM maxi-mieren. Auf der anderen Seite fehlen grundsätzliche Logquellen, wie beispielsweise businesskritische Applikationen. Denn die für das Unternehmen wichtigsten Informationen werden in diesen Applikationen erfasst, verarbeitet und weitergegeben. Der Sinn der Anbin-dung von Applikationslogs erschließt sich direkt, wenn man bedenkt welchen Schaden ein externer oder interner Angreifer innerhalb einer solch kritischen Applikation anrichten kann.

Und diese Aussage trifft vor allem auf eine der wichtigsten Businessapplikation im Unternehmen zu: dem Enterprise Resource Planing System wie beispielsweise SAP® ERP.

www.it-cube.de

www.it-cube.de iT-CUBE SYSTEMS AG

SIEM ohne ERP bleibt unvollständig

Betrachtet man die Integration in ein SIEM, handelt es sich bei einem ERP-System um eine ganz normale, wenn auch mehr oder we-niger komplexe, Applikation mit unterschiedlich relevanten Logdaten.

Die Herausforderung

Trotz der erkannten Notwendigkeit die Logdaten eines ERP in ein SIEM zu integrieren, steht vielen Unternehmen dieser Schritt noch bevor. Die Gründe für diese Verzögerung sind vielseitig. Oft existieren jedoch Annahmen, wie:

• das Logging von ERP-Systemen ist von Natur aus komplexer als bspw. das Logging von Security Devices (Firewalls, VPN etc.).• das ERP-System bietet keine geeigneten Logging-Schnittstellen für ein SIEM.• die ERP-Logs sind nicht kompatibel zum Format des SIEM.• „ERP ist sicher“ in Bezug auf IT-Security, da bspw. Sicherheitsmaßnahmen, wie ein komplexes Berechtigungsmanagement, imple-

mentiert wurden.

Die Lösung als Kochrezept

Um das Logging von ERP-Systemen in ein SIEM zu integrieren, müssen einige Aufgaben gelöst werden. Diese lassen sich jedoch in unterschiedliche Teilaufgaben und Arbeitsschritte unterteilen.

1. Die Applikation und deren Logdaten verstehen,2. Logschnittstellen schaffen,3. Logdaten weiterleiten,4. Logdaten interpretierbar machen,5. Logdaten in ein SIEM integrieren,

a. mit SIEM Standard-Logdaten korrelieren,b. anwendungsspezifische Use Cases umsetzen.

Die einzelnen Schritte erfordern in der Umsetzung Know-how mehrerer Fachgebiete (SAP®, SIEM und IT-Security) in unterschiedlicher Ausprägung und Gewichtung. Während die Punkte 1-3 mehr SAP® Know-how erfordern, benötigt man für die Umsetzung des Punktes 5 SIEM Expertise. Punkt 4 „Logdaten interpretierbar machen“ ist interdisziplinär. Allen Punkten ist jedoch der IT-Security Fokus gemein.

Um sinnvolle Logs aus einem ERP-System auszulesen, muss man die Applikation erst einmal verstehen. Dazu sind sowohl Experten von SIEM- als auch von Anwendungsseite notwendig. Erst im Dialog dieser beiden Expertengruppen können die neuralgischen Punkte im ERP-System mit den Logginganforderungen eines SIEM in Einklang gebracht werden. Ist diese Hürde genommen, bedarf es weiterhin Expertenwissen auf ERP-Seite, um die Schnittstellen zu schaffen und die Logs in ein für das SIEM interpretierbares Format zu brin-gen. Die weiteren Tätigkeiten, wenn es darum geht Logdaten entsprechend zu interpretieren und in den Gesamtkontext des Security Monitoring zu setzen, haben ihren Schwerpunkt auf SIEM-Seite.

Anwendungsfälle

Jedes ERP-System generiert für die IT-Security relevante Logdaten wie z.B. Ereignisse aus der Authentifizierungs- und Berechtigungsver-waltung. Diese „klassischen“ Security-Logs können durch die Standardkorrelation eines SIEM entsprechend verarbeitet und ausgewertet werden.

Brute Force-Login Versuche, die anwendungsbezogen sind, sollten bspw. bei korrekter Integration bereits Alarme im SIEM generieren ohne hierfür explizite ERP Korrelationsregeln zu definieren. Will man das SIEM gezielt dazu verwenden, die Sicherheit eines oder verteilter ERP-Systeme (Systemlandschaft) zu betrachten, ist die Kennzeichnung der ERP-relevanten Systeme innerhalb des SIEM notwen-dig. Hierfür sollte man seine ERP-Systemlandschaft im SIEM modelieren. Dadurch ist es u.a. möglich, Angriffe gegen Server, welche die ERP-Systemlandschaft betreffen, auch mit diesen Systemen in Verbindung zu bringen. Ein Einbruchsversuch auf eine als ERP-System gekennzeichnete Datenbank gewinnt so an Aussagekraft. Auch ist auf diesem Wege die automatisierte Verknüpfung von ERP-Events mit den restlichen SIEM-Events möglich (Cross-Device / Cross Vendor Correlation) - jedoch mit Fokus auf die ERP-Systemlandschaft. Die Ergebnisse der Korrelation innerhalb des SIEM gewinnen an Bedeutung und viele Standard Anwendungsfälle eines SIEM sind auf das ERP-System anwendbar.

Darunter fallen beispielsweise:

• Virus-Infektion von IT-Systemen, • Kommunikation mit Botnets,• Brute Force-Logins, • Wurmausbruch,• Denial-Of-Service Erkennung, • Monitoring von privilegierten Usern,• Reconnaissance.

www.it-cube.de

www.it-cube.de iT-CUBE SYSTEMS AG

Die Möglichkeiten der SIEM-Korrelation können jedoch auch für die Umsetzung von ERP-spezifischen Anwendungsfällen genutzt wer-den.

Hierunter fallen Anwendungsfälle wie bspw.:

• Ungeplante Aktivität von Standardbenutzern,• Deaktivieren der ERP eigenen Auditierung,• Ausführen bestimmter Aktionen wie:

– kritische Transaktionen,– kritische Reports,

• Ausleiten wichtiger Informationen aus dem System („Data Leakage“).

Exkurs

Am Beispiel agileSI™ für SAP® und dem SIEM HPE ArcSight ESM soll ge-zeigt werden, wie eine Integration zwischen ERP und SIEM aussehen kann. agileSI™ ist eine von iT-CUBE entwickelte Lösung, um securityrelevante Log-informationen aus SAP® auszulesen und einem SIEM-System in Form eines aufbereiteten Logfiles zur Verfügung zu stellen. In Abbildung 1ist die Archi-tektur von agileSI™ schematisch dargestellt.

Das SIEM-System (hier HPE ArcSight ESM) muss entsprechend konfiguriert werden, um SAP® Logs sinnvoll auszuwerten. Eine Kategorisierung der SAP® Systeme nach SAP® Landschaft und SAP® System ist die Grundvo-raussetzung für die ERP-bezogene Korrelation der IT-Security Events. Diese Kategorisierung erfolgt in HPE ArcSight ESM. Abbildung 2 zeigt einen SAP® Server mit den entsprechend zugewiesenen Kategorien. Zudem sind weitere mögliche Optionen zur Kategorisierung in Abbildung 3 dargestellt.

AGENT AGENT AGENT

CORE CORE CORE

SIEM

Audit SOC SAP Management Admin

CollectionA

dministration

Analysis

Abbildung 1:agileSI™ System Architecture

Abbildung 2: SAP® Asset mit Kategorisierung in HP ArcSight ESM

Die Kategorisierung ermöglicht eine Sichtweise und Filterungen aller sicher-heitsrelevanten Events bezogen auf die SAP® Systemlandschaft. Ein SAP® Security Monitoring Dashboard kann als Plugin für ein Security Operations Center (SOC) dienen und wie in Abbildung 4 gezeigt, bspw. den IT-Security Status der SAP® Systemlandschaft sinnvoll aufbereitet darstellen. Abbildung 3: Optionen zur Kategorisierung von SAP® Assets in agileSITM und

HP ArcSight ESM

www.it-cube.de

www.it-cube.de iT-CUBE SYSTEMS AG

Abbildung 4: agileSITM SAP® Security Global Overview Dashboard

Drilldowns bieten eine schrittweise Verfeinerung des Detailgrades, wie bspw. den Status der SAP® Applikationsserver in der System-landschaft Produktion, dargestellt in Abbildung 5. Hier ist bereits erkennbar, welche SAP® Systeme in welchem Umfang betroffen sind.

Abbildung 5: agileSITM SAP® Drilldown in Security Status der SAP® Produktion

Zur Feststellung von Sicherheitsvorfällen sollten des Weiteren immer statistische und visuell unterstützte Auswertungen genutzt werden, wie zu sehen im Dashboard in Abbildung 6. Mit Hilfe von SAP®-Logdaten können zusätzlich Compliance-Verstöße ermittelt und aufgezeigt werden. Automatisierte Benachrichtigung kritischer Verstöße aber auch die stetige Prüfung (kontinuierliches Monitoring des

www.it-cube.de

www.it-cube.de iT-CUBE SYSTEMS AG

Compliance Status) ermöglichen zum einen eine höhere Abdeckung der überwachten Systeme (nicht nur stichpunktartig) als auch die Möglichkeit, die Sicherheit ununterbrochen zu verbessern (Trend). Ein Compliance Dashboard wie in Abbildung 7 dargestellt, bietet einen Gesamtüberblick über Compliance-Verstöße innerhalb der SAP® Landschaft.

Abbildung 6: agileSITM SAP® Security Events Visual Analytics Dashboard

Abbildung 7: agileSITM SAP® Compliance Dashboard

www.it-cube.de

Paul-Gerhardt-Allee 2481245 München, Germany

T: +49 89 2000 148 00 F: +49 89 2000 148 29

info@it-cube.de www.it-cube.de

iT-CUBE SYSTEMS AG

Unsere Experten sind für Sie da, wir helfen Ihnen gern weiter. Kontaktieren Sie uns jederzeit, unverbindlich!

Abbildung 8: agileSITM SOD Access Control Violations Dahboard

FazitMit der Integration des Enterprise Resource Planing Systems in ein SIEM gewinnt man eine höhere Transparenz, sowohl was die Vorgänge innerhalb der Applikation ERP betrifft, als auch der Interaktion von ERP-relevanten IT-Systemen mit der IT-Infrastruktur und der Außenwelt (Internet).

Die iT-CUBE SYSTEMS AG ist zertifizierter Partner für die vorgestellten Systeme. Sprechen Sie uns doch einfach direkt an und lassen Sie uns über den Mehrwert der Verknüpfung dieser beiden Lösungen reden. Gerne stellen wir Ihnen unser Know-how zur Verfügung.

Sie interessieren sich für weitere Lösungsansätze zu HPE ArcSight ESM, agileSI™ oder anderen Produkten? Besuchen Sie unsere Webseite unter www.it-cube.de und werfen Sie einen Blick auf weitere Artikel und Whitepaper!

Über agileSI™

agileSI™ setzt im Security Monitoring dort an, wo Sie am verwundbarsten sind: es unterstützt Sie bei der 360° Überwachung Ihrer SAP® Systeme. Lösungen von SAP® sind heute für viele Organisationen die erste Wahl, ihre Geschäftsprozesse IT-gestützt abzubilden. Aufgrund ihrer Bedeutung, Informationsdichte, Komplexität, Architektur und ihres Schwachstellenpotenzials unter-liegen sie einer besonderen Kritikalität. Unser Tool überwacht sämtliche sicherheitsrelevanten Aktivitäten eines SAP® Systems und zwar mit einem Radius von 360°. Dabei extrahiert agileSI™ alle wesentlichen Daten aus Ihrer SAP® Landschaft und visualisiert diese in einfach interpretierbare Berichte und Dashboards, automatisch und ohne Beeinträchtigung der Performance Ihres SAP® Systems. So können sicherheitskritische Ereignisse wirklich umfassend und kontinuierlich überwacht werden. Weiter Informationen finden Sie unter: www.agileSI.net.

Auch das Compliance Dashboard ermöglicht Drilldowns, um der Ursache von Verstößen einzelner Systeme auf den Grund zu gehen. Dargestellt in Abbildung 8 als Beispiel für SOD Access Control Violations in der Produktionsumgebung.