SAP Forensik und SIEM-Muster

Muster aus den SAP-Log-Files, die auch von der Forensik genutzt werden

9920d7f1-a975-4f8b-8bf4-1054a1a91cc0

Muster für dieAngriffsszenarien, die es abzuwehren gilt, herauszuarbeiten und zu analysieren ist ein wichtiges neues Thema in der Debatte um Unternehmenssicherheit. Im Rahmen unserer Vorbereitungen für dieses Buch haben wir mit verschiedenen Organisationen geredet, z.B. mit Checkpoint, dem Hersteller von Firewalls, mit SAP in Walldorf, mit Organisationen des Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Cyber-Abteilung des Verfassungsschutz. Keine dieser Organisationen würde im Detail über spezifische Muster eines Angriffs reden. Auch wenn wir mündlich viele Fallbeispiele durchgegangen ist, waren diese so entweder so spezifisch, dass ihre Darstellung keinen allgemeinen Wert hätte oder unterlagen einer entsprechenden Geheimhaltung. Daher ist es, wie auch die Sicherheits-Experten von SAP bestätigten, einer der schwierigsten Teile der Entwicklung von Sicherheits-Software, Echtzeit-Daten eines Angriffs zu simulieren.

Auch die Sicherheits-Experten der SAP bestätigten, dass eines der schwierigsten Teile der Entwicklung von Sicherheits-Software die Simulation von Echtzeit -Daten eines Angriffs ist. Jetzt ist es aber technisch schwierig, eine komplette Replikation eines Denial of Service-Angriffs zu sichern und ebenso schwierig ist es, die Genehmigung zur Benutzung dieser Daten zu bekommen.

Im Umfeld von Cyber-Crime und deren Bekämpfung und Analyse ist Cyber-Forensik ein wichtiges Feld.

Und die Entdeckung beginnt mit der sprichwörtlich kriminalistischen Arbeit – dem Aufspüren der Straftaten. Es geht um die forensischen Aspekte eines SAP-Systems, aus welchen Log-Files sich Informationen extrahieren und auswerten lassen und wie man dann weiter verfährt. Und es geht um die Werkzeuge wie die Software zum Security Information & Event Management (SIEM).

Aus den Gesprächen mit und um das BSI entstand auch der Kontakt zu Thomas Werth, dem Gründer der Werth IT (http://www.werth-it.de) Er ist ein langjähriger SAP-Spezialist und Forensiker, ebenfalls Buchautor und Software-Produzent. Mit ihm haben wir uns lange zu dem Thema ausgetauscht und am Ende stellte er uns eine Studie zur Verfügung, die er erstellt hatte. Es bildet den Kern dieses Abschnitts über Log Files und Forensik

Damit eine forensische Auswertung eines SAP-Systems erfolgen kann, muss der Analytiker zwingend wissen, an welcher Stelle im System welche sicherheitsrelevanten Ereignisse protokolliert werden. Ebenso muss er die Einschränkungen und Eigenschaften der jeweiligen Log-Daten kennen, um den Inhalt (oder eben den fehlenden Inhalt) korrekt in seine Untersuchung einfließen lassen zu können. Weiterhin ist zu beachten, dass die meisten Logging-Mechanismen zunächst deaktiviert sind und erst in Betrieb genommen werden müssen.

Dies ist auch oft eines der ersten Teilprojekte, wenn eine übergreifende SAP Sicherheits-Strategie im Unternehmen implementiert werden soll. Oft sind logs kaum oder auf eine sehr niedrigen Detail-Stufe eingestellt, da historisch gesehen Plattenplatz und Performance teuer waren. In Zeitalter virtueller Server und Big Data Speicherung gilt dies nicht mehr.

Es gilt also zu prüfen, welche logs überhaupt zur Verfügung stehen und an welcher Stelle des Systems diese zu finden sind. In diesem Kapitel soll daher die wichtigsten Logs eines SAP-Systems aufgezeigt und deren Inhalt und Eigenschaften beschrieben werden, damit im Falle einer notwendigen Untersuchung eines SAP-Systems ein Leitfaden existiert. Dieser Leitfaden sollte aufzeigen, an welcher Lokation genau diese Informationen zu finden sind. Ebenso sollte es eine „Security Best Practice“ sein, frühzeitig die Protokollierung mit höchstmöglichem Grad zu aktivieren, denn nur eine aktive angemessene Protokollierung kann zum Aufspüren und der Aufklärung von Verdachtsfällen führen.

Das Thema in ausführlicher Beschreibung finden Sie in einem Kapitel meines Buches über SAP Sicherheit : SAP Systeme sichern 

 

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen