Ein neuer Trend in der IT-Security ist Threat Intelligence. Dabei geht es darum, Daten bekannter Schadprogramme, Schwachstellen und Angriffsvektoren in einen Kontext zu stellen und so effektiver auf Bedrohungen reagieren zu können. Viele IT-Security-Anbieter sind dazu übergegangen, Threat Detection als Teil oder zusätzliches Feature Ihrer Lösungen zu verkaufen.
Leider ist Threat Intelligence meistens – wie so oft in der IT-Sicherheit – auf die Infrastruktur beschränkt. Unternehmenskritische Anwendungen werden außen vor gelassen. Dabei ist es einerseits gerade in diesem Bereich erstens enorm wichtig, ungewöhnliche Aktivitäten als solche zu erkennen. Zweitens ist es durch die Fokussierung auf bestimmte Applikationen einfacher, Angriffe zu erkennen. Beispiel SAP.
SAP-Systeme enthalten die sensiblen Daten jedes Unternehmens. Ob Mitarbeiterdaten aus dem SAP HR, Finanzdaten aus SAP FI/CO oder Lieferantendaten aus SAP SRM, für Angreifer stellen SAP-Landschaften ein mehr als lohnenswertes Ziel dar. Das hat die Hacker-Community inzwischen erkannt und Angriffe auf SAP-Systeme werden nicht nur häufiger, sie werden immer professioneller durchgeführt.
Leider werden SAP-Systeme in gängigen Sicherheitslösungen oft ausgeklammert, das gilt auch für Threat Intelligence Lösungen. Das liegt zum einen an der grundlegend anderen Technologie, die der Softwarehersteller aus Walldorf verwendet, zum anderen waren SAP-Systeme in der Vergangenheit sowohl technisch als auch organisatorisch vom Rest der IT getrennt – was oft dazu führt, dass die Sicherheitsabteilung sich mit den Besonderheiten der Technologie nicht auskennt, geschweige denn Angriffe erkennen kann.
SAP-Sicherheit wird immer wichtiger
In den letzten Jahren hat ein Umdenken stattgefunden und sowohl die SAP selbst als auch deren Kunden haben die Sicherheit ihrer SAP-Systeme zur Priorität erklärt. SAP-Systeme werden daher immer häufiger in eine umfassende Überwachung der gesamten IT-Landschaft mit eingebunden.
Das Ziel einer Überwachung von SAP-Systemen sollte natürlich sein, mögliche Bedrohung zeitnah als solche zu erkennen und – viel wichtiger noch – reagieren zu können. Studien zeigen, dass zwischen einem eigentlichen Angriff und der Entdeckung dieses Angriffs im Durchschnitt 146 Tage vergehen. In dieser Zeit kann ein Angreifer natürlich immensen Schaden anrichten. Diesen Zeitraum auf wenige Tage oder Stunden zu verkürzen ist daher oberstes Gebot.
Es lohnt sich, den Begriff „Threat Intelligence“ in diesem Zusammenhang näher zu beleuchten. Wenn es um SAP-Systeme geht, werden Angriffe von Hackern zunehmend professioneller. In der Realität werden Angriffe oft orchestriert von langer Hand vorbereitet. Wer eine Analogie bemühen möchte: Hackerangriffe ähneln selten dem klassischen Banküberfall, bei dem ein maskierter Räuber mit der Pistole wedelt und schon nach wenigen Minuten mit einem Sack voller Geld die Bank verlässt. Ein passender Vergleich wäre eher ein Film wie „Oceans Eleven“, bei dem eine ausgeklügelte Vorbereitung dem eigentlichen Clou vorausgeht.
Aus Anomalien mögliche Angriffe erkennen
In IT-Systemen – und damit auch für SAP-Landschaften gültig – erkennt man diese Vorbereitung durch bestimmte Hinweise. Korreliert man diese Hinweise mit anderen auffälligen Aktivitäten, kann ein möglicher Angriff vorliegen. Die Indizien, die auf einen Angriff hinweisen, liegen dabei in der Regel zeitlich deutlich auseinander. Es ist also nicht notwendig, die Protokolldateien, die solche Indizien enthalten können, sekundengenau auswerten zu können. Das hat oft sogar den Nachteil, dass für die Auswertung der meist enorm großen Mengen von Log-Daten enorme Ressourcen benötigt werden. Wichtiger ist eine Korrelationsanalyse, die mögliche Bedrohungen zielsicher entdeckt.
Um eine solche Analyse durchführen zu können, sind vor allem zwei Dinge notwendig: SAP-spezifisches Wissen, um ungewöhnliche Aktivitäten überhaupt erst erkennen zu können. Zweitens müssen diese Daten überhaupt erst einmal erhoben werden.
In der IT-Sicherheit haben sich für diese Art des Security Monitorings in den vergangenen Jahren sogenannte SIEM-Lösungen etabliert (Security Information and Event Management), wie beispielsweise splunk, Q-Radar oder ArcSight. Eingesetzt werden diese SIEM-Lösungen im Rahmen einer kontinuierlichen Überwachung vor allem in Security Operation Center (SOCs). SIEM-Lösungen erkennen auffällige Verhaltensweisen und sind mit Hilfe komplexer Korrelationsregeln dazu in der Lage, sicherheitsrelevante Vorfälle zeitnah zu identifizieren. Allerdings fokussieren sich die SIEM-Lösungen ebenfalls fast ausschließlich auf die Infrastruktur, also Netzwerkkomponenten, Firewalls oder Router. Für die komplexen SAP-Systeme und die Daten, die innerhalb der verschiedenen Anwendungskomponenten anfallen, sind die meisten SIEM-Systeme blind.