MS Sentinel: nowa era cyberbezpieczeństwa SAP

Od finansów przez logistykę po zarządzanie zasobami ludzkimi – przedsiębiorstwa opierają swoje kluczowe procesy biznesowe na rozwiązaniach SAP. Zaawansowanych, wysoko zintegrowanych, kluczowych dla procesów biznesowych systemach informatycznych, a przy tym stanowiących bardzo atrakcyjny cel dla cyberprzestępców. Dlatego w dobie rosnących zagrożeń cyfrowych i zaostrzających się regulacji unijnych, takich jak dyrektywa NIS2, firmy coraz częściej sięgają po zaawansowane rozwiązania do monitorowania i ochrony tych systemów, w tym systemy klasy Security Information and Event Management (SIEM).

Środowiska SAP bywają bardzo rozbudowane i indywidualnie dostosowane do potrzeb poszczególnych firm. To sprawia, że działają one jak zintegrowany system nerwowy organizacji, łączący jej różne działy, pozwalający na usprawnienie działalności oraz podejmowanie lepszych decyzji. Jednocześnie ta złożoność sprawia, że ochrona systemów jest trudna.

Szeroki zakres produktów, funkcjonalności i modułów przekłada się na dziesiątki tysięcy transakcji, którymi należy zarządzać i je kontrolować. Jednocześnie złożoność architektury systemów, sposób zarządzania uprawnieniami czy interfejsowanie z licznymi zewnętrznymi komponentami są poważnym wyzwaniem w kontekście zapewnienia cyberbezpieczeństwa. Trudno to zrealizować bez odpowiednich narzędzi i specjalistycznej wiedzy.

Tradycyjny podział kompetencyjny w ekosystemie SAP wygląda zazwyczaj tak:

• warstwa techniczna SAP Basis (infrastruktura, system operacyjny, baza danych, parametry techniczne),
• moduły (ustawienia aplikacyjne),
• urządzenia i systemy satelitarne – nierzadko firm trzecich,

To rozczłonkowanie skutkuje trudnościami już na etapie wskazania, kto tak naprawdę jest odpowiedzialny za bezpieczeństwo środowiska jako biznesowo jednolitej całości. Podejście wyspowe w zarządzaniu bezpieczeństwem („każdy obszar odpowiada za swoją część”) jest nieskuteczne wobec większości zagrożeń. W związku z tym, w celu zabezpieczenia swoich kluczowych systemów oraz wytworzenia nowej jakości w zarządzaniu bezpieczeństwem, organizacje muszą wspierać się nowoczesnymi platformami klasy SIEM.

Rozwiązanie Microsoft Sentinel dla aplikacji SAP to odpowiedź na te wyzwania. Dzięki swojej elastyczności i skalowalności doskonale nadaje się do monitorowania środowisk SAP – zarówno on-premise, jak i w chmurze, wykorzystując w tym celu:

• korelację logów zebranych z różnych źródeł,
• analizę zagrożeń z wykorzystaniem sztucznej inteligencji,
• automatyzację reakcji na incydenty.

SAP generuje ogromne ilości logów, z których tylko niewielka część ma znaczenie dla bezpieczeństwa. Funkcja korelacji, dzięki odpowiednim regułom, filtruje zdarzenia, nadaje znaczenie biznesowe i priorytetyzuje według ryzyka. Pozwala to zespołom SOC (Security Operations Center) skupić się na rzeczywistych zagrożeniach, zamiast tonąć w nieistotnych alertach.

Po stronie systemów SAP integracja z Sentinelem wymaga uwzględnienia określonych warunków brzegowych:

• SAP NetWeaver 7.5+ z aktywnym audytem bezpieczeństwa (RSAU_CONFIG);
• Role SAP: /MSFTSEN/SENTINEL_CONNECTOR i /MSFTSEN/SENTINEL_AGENT_BASIC przypisane do użytkownika technicznego;
• Dostęp do transakcji: SU01, PFCG, STMS_IMPORT, RSAU_CONFIG;
• Noty SAP: 3390051 i 382318 – konfiguracja NetWeaver pod integrację z Sentinel.

Dzięki zautomatyzowanemu raportowaniu administratorzy cyberbezpieczeństwa nie muszą znać szczegółów funkcjonowania środowiska SAP – Sentinel wskazuje konkretne, nazwane zagrożenia – niezależnie, czy są to powtarzające się próby uwierzytelnienia, zmiany w uprawnieniach użytkowników czy masowe pobieranie danych. System nie tylko wykrywa zagrożenia, ale również umożliwia ich automatyczną neutralizację dzięki funkcjom SOAR (Security Orchestration, Automation and Response) – można np. zablokować użytkownika, uruchomić alerty czy zainicjować procesy zgodne z polityką bezpieczeństwa.

Niebagatelne znacznie ma również fakt, że Microsoft Sentinel przeszedł proces certyfikacji dla środowisk: SAP S/4HANA Cloud, SAP S/4 on-premises oraz RISE with SAP. Obsługuje zarówno środowiska chmurowe, jak i hybrydowe, co czyni go uniwersalnym narzędziem, niezależnie od architektury środowiska. A bezpieczeństwo SAP przestaje mieć charakter wyspowy, a staje się kompleksowe i zarządzalne.

Microsoft Sentinel wpisuje się także w wymagania artykułu 21 dyrektywy NIS2 – jako jeden ze środków technicznych niezbędnych do skutecznego zarządzania zdarzeniami w środowisku IT, raportowania incydentów czy wsparcia w zarządzaniu ryzykiem oraz zapewnienia ciągłości działania. SAP, jako system krytyczny, musi być objęty tymi wymaganiami. A Sentinel wesprze organizację w spełnieniu tych obowiązków poprzez automatyzację, centralizację i dokumentację działań związanych z bezpieczeństwem.

Duża część przedsiębiorstw korzystających z SAP to operatorzy usług kluczowych lub ważnych, którzy w niedalekiej przyszłości – po nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – będą zobowiązani do wdrożenia regulacji wynikających z dyrektywy NIS2. W gronie zobowiązanych przedsiębiorstw znajdują się te działające w branży energetycznej, transporcie, produkcji, opiece zdrowotnej i innych.

Bezpieczeństwo SAP to nie luksus – to konieczność. W świecie, gdzie dane są najcenniejszym zasobem, a cyberzagrożenia ewoluują z dnia na dzień, integracja SAP z nowoczesnym SIEM, takim jak Microsoft Sentinel, daje organizacjom realną przewagę. Wdrożenie rozwiązania jest krokiem w stronę nowoczesnego zarządzania bezpieczeństwem, ale również odpowiedzią na wymagania dyrektywy NIS2, zmieniającym tym samym technologię w strategię ochrony biznesu. Organizacje, które zdecydują się na takie rozwiązanie, zyskują nie tylko zgodność regulacyjną, ale również realne zwiększenie poziomu bezpieczeństwa swoich kluczowych systemów.

• Nieautoryzowane zmiany w systemie
• Eskalacja uprawnień
• Próby obejścia mechanizmów bezpieczeństwa SAP
• Tworzenie „backdoorów” i interfejsów zewnętrznych
• Masowe pobieranie danych (exfiltracja)
• Próby dostępu z podejrzanych adresów IP

Waldemar Sokołowski, Członek Zarządu, Dyrektor ds. Usług IT, All for One Poland podkreśla: "Systemy SAP to złożone środowiska, w których dane finansowe, produkcyjne i logistyczne spotykają się z użytkownikami, integracjami i setkami punktów dostępu. Każdy z nich może stać się potencjalnym wektorem ataku. Dlatego skuteczna ochrona SAP wymaga nie tylko reagowania na incydenty, ale przede wszystkim ciągłego monitorowania i analizy zdarzeń w całym krajobrazie IT.

Jednym z najskuteczniejszych narzędzi w tym zakresie jest Microsoft Sentinel – platforma klasy SIEM/SOAR, która pozwala centralnie gromadzić, analizować i korelować dane o bezpieczeństwie z różnych źródeł, w tym z systemów SAP. Dzięki temu możliwe jest wczesne wykrywanie anomalii i błyskawiczna reakcja na potencjalne incydenty.

Cyberbezpieczeństwo nie jest dziś kwestią wyboru. To obowiązek, ale też przewaga konkurencyjna. Firmy, które korzystają z MS Sentinel, efektywnie monitorują działania użytkowników, zmiany w konfiguracji czy nieautoryzowane dostępy – w czasie rzeczywistym, z poziomu jednej konsoli. Zyskują pełną widoczność i świadomość sytuacyjną w swoim środowisku IT".