Graag meer grip op beveiliging in SAP-omgeving

VNSG-leden willen meer grip op de beveiligingskwetsbaarheden in hun SAP-omgevingen. Zij willen daarom graag meer inzicht in de waarde van de patches die SAP ter beschikking stelt en in de security baseline van de softwarefabrikant. Dit blijkt tijdens een speciale bijeenkomst van beveiligingsspecialisten van grote Nederlandse bedrijven.


De bijeenkomst is een initiatief van het VNSG-bureau en de focusgroep Security & Access Management van de VNSG. Adjunct-directeur Hans de Labije en focusgroepbestuurslid Henk Peter Wind geven aan dat zij een wat meer interactieve en besloten bijeenkomst wilden dan gebruikelijk om van gedachten te wisselen.

"Je moet niet vergeten dat de nadruk op beveiliging met de dag toeneemt, zeker ook nu Internet of Things om de hoek staat”


Tien toonaangevende organisaties in  Nederland werden gevraagd deel te nemen. “En de belangstelling bleek overweldigend; beveiligingsspecialisten van de gevraagde organisaties wilden komen om van elkaar te leren en om te horen hoe SAP met security omgaat. Je moet niet vergeten dat de nadruk op beveiliging met de dag toeneemt, zeker ook nu Internet of Things om de hoek staat”, licht Wind toe. SAP is vertegenwoordigd door Ümit Özdurmus. Hij is Global Head SAP Security Practice Application & Technology Services. “In een dergelijke setting praat iedereen vrijuit. Voor mij is het een reality check. Ik zit hier tenslotte met enkele van onze grootste klanten uit Nederland aan tafel. En ik heb geleerd dat wij beter moeten vertellen wat wij allemaal al in huis hebben om onze klanten te helpen bij beveiliging.


Security baseline

De deelnemers is anonimiteit beloofd om het gesprek zo open mogelijk te houden. Wel mag hun bijdrage worden vermeld. Een spreker vertelt veel last te hebben van cyberaanvallen van landen of organisaties die willen weten wat de actuele ontwikkelingen zijn bij zijn bedrijf. En van hackers, mensen die het een uitdaging vinden om de beveiligde omgeving van een internationaal bedrijf te bestormen.

“We willen een standaard security baseline die iedereen kan gebruiken. Vanaf 2014 hebben we hieraan samen met SAP gewerkt.”


De geautomatiseerde (SAP)-systemen groeien flink in complexiteit. ECC, Fiori, SAP HANA, Cloud, Mobile, BO, BW, Lumira, SAP Web Applicaties, zo somt hij op. “En elke interface is een extra risico. Bovendien is er wereldwijd maar een klein groepje bedrijven dat de kwetsbaarheden in al die systemen opspoort. Je moet heel veel zelf doen. Daarom zijn we een paar jaar geleden begonnen met een SAP Security Strategy”, zo vertelt hij.

Zijn focus ligt op zeven gebieden: configuration baseline compliance, patching, ABAP code security, threat detection, data protection, risk visuals en IAM Controls (Identity & Access Management). “We willen een standaard security baseline die iedereen kan gebruiken. Vanaf 2014 hebben we hieraan samen met SAP gewerkt.”


Automatisering

De security baseline is gepubliceerd en onlangs heeft SAP templates openbaar gemaakt voor ConfigVal (configuration validation) in SAP Solution Manager. “Wij hebben de eerste versie van de baseline uit eigen zak betaald. Inmiddels zitten we op 1.9 en SAP onderhoudt het verder. We willen wel dat het meer bekend is dat mensen hierover kunnen beschikken.”

Uit de reacties van de andere deelnemers blijkt dat de meesten niet op de hoogte zijn van de baseline-documenten. “Wij hebben zoveel documenten”, reageert Özdurmus. “En het was inderdaad lastig te vinden, maar nu staat het in de knowledge base van SAP. Het is een helder en overzichtelijk document; dus ik kan het iedereen aanraden.”


Security Patching

Veel SAP gebruikers worstelen met het invoeren van SAP security patches. SAP zou moeten aangeven hoe belangrijk de herstelsoftware is die zij aanbiedt. En welke risico’s zijn er als je een bepaalde patch uitstelt. Ze willen graag dat SAP helpt prioriteiten op te stellen.

Dit brengt een verhitte discussie op gang over het vele werk dat patching met zich mee brengt. Want dit gebeurt naast het eveneens intensieve werk om gewoon alle release-updates in goede banen te leiden. Er komt een vloedgolf aan patches over de IT-afdeling heen. Niet alleen voor SAP-systemen, maar evenzeer voor alle andere geautomatiseerde systemen. En dat is natuurlijk nog maar het begin, want elke patch moet worden getest alvorens in de productie-omgeving toe te passen.

Afbeelding

Een van de deelnemers hemelt Microsoft op dat patches en updates geautomatiseerd laat verlopen. “Dat zou ik bij SAP ook graag zien, want automatisering van de IT houdt de boel betaalbaar.”

Özdurmus vindt de vergelijking met Microsoft niet helemaal eerlijk. “Dan gaat het om standaardsoftware. Maar onze gebruikers hebben soms veel maatwerk. Dat kunnen wij vanuit Walldorf onmogelijk geautomatiseerd bedienen.”

Omdat het zoveel werk is – en blijft, gezien het maatwerk – willen de VNSG-leden meer informatie van SAP over het patch-werk. “Wat moet je testen, en hoe? Wat is de impact van een SAP-patch op andere systemen? Er is wel tooling beschikbaar van SAP, maar de meesten weten die nog niet goed te vinden. Dat zou SAP ook wat helderder naar voren moeten brengen. SAP doet echt veel aan security, maar zou dat beter moeten presenteren”, aldus Wind.

"Het testen van de security zou een integraal onderdeel moeten zijn van elk SAP-project binnen een organisatie."


Security testen

Een van de sprekers werkt als ethisch hacker bij een grote organisatie. Zijn team spoort klokje rond naar kwetsbaarheden. Hij vindt dat het testen van de security een integraal onderdeel moet zijn van elk SAP-project binnen een organisatie. Waarbij SAP niet los kan worden gezien van andere geautomatiseerde systemen, die bovendien steeds meer met elkaar verknoopt raken. Zo bracht iemand naar voren dat een bedrijf de klimaatregeling van het gebouw op een server had staan die verbonden was met het bedrijfsnetwerk. Door deze server binnen te dringen was het gelukt uiteindelijk in de SAP-systemen te belanden.

“Die verwevenheid van systemen moet duidelijk zijn binnen een organisatie en risico’s moeten in kaart gebracht worden”, geeft Wind de discussie weer.


Managed Security Services

Wie het allemaal te veel wordt, kan sinds kort terecht bij SAP Managed Security Services. Özdurmus: "We hebben die vorig jaar december gelanceerd. We zijn nog in gesprek met een aantal klanten over de verfijning van deze diensten. Het komt erop neer dat SAP alle beveiligingsaspecten uitvoert in opdracht van de klant. Het kan ze veel geld schelen, want het is echt kostbaar om een goed beveiligingsteam samen te stellen.”

Tevens heeft SAP Enterprise Threat Detection geïntroduceerd. Met behulp van agents in de aangesloten systemen wordt een grote hoeveelheid log files geanalyseerd om de beveiliging te monitoren en door middel van patronen kwetsbaarheden op te sporen.

Ümit Özdurmus is na afloop blij dat hij heeft deelgenomen. Hij neemt de opmerkingen ter harte en gaat ze bespreken in zijn SAP-team.


Meer weten over de focusgroep Security & Access Management?
Ga dan naar www.vnsg.nl/sam

 



Dit artikel kun je ook lezen in het online maartnummer van het VNSG Magazine.

 



Plaats reactie

Even geduld a.u.b.

Meest gelezen