Startseite > Security > Angriffe auf SAP-Systeme in Echtzeit erkennen

Onapsis Security Platform schützt alle SAP-Plattformen einschließlich HANA

Angriffe auf SAP-Systeme in Echtzeit erkennen

23. Oktober 2015, 6:44 Uhr | LANline/Dr. Wilhelm Greiner

Das Startup-Unternehmen Onapsis will mit seiner Onapsis Security Platform (OSP) SAP-Umgebungen vor Angriffen schützen. Dazu überwacht die lernfähige Software den Datenverkehr sämtlicher SAP-Anwendungen auf Applikationsebene und schlägt in Echtzeit Alarm, sobald sie auffällige Abweichungen von den Normalwerten entdeckt.

Die Onapsis Security Platform soll die Basis für eine möglichst schnelle Reaktion auf Sicherheitsvorfälle (Incident Response) in SAP-Umgebungen schaffen. Dazu deckt die Lösung laut Herstellerangaben sämtliche SAP-Plattformen ab: Sie überwache Netweaver, ABAP, J2EE, SAP Mobile und SAP Businessobjects ebenso wie SAPs neue In-Memory-Datenbank HANA.

Insbesondere HANA stellt laut Gerhard Unger, Vice President Sales EMEA/APAC bei Onapsis, derzeit einen Problemfall dar – wie auch die diversen HANA-Lücken belegen, die man in Onapsis’ Security Advisories findet. Das Problem liegt laut Unger darin begründet, dass bislang weder die SAP-Anwenderunternehmen noch SAP selbst auf langjährige Erfahrung mit der In-Memory-Datenbanktechnik zurückblicken können.

Häufig, so Unger, handle es sich bei den Lücken allerdings nicht um Fehler im Code, sondern um Konfigurationsfehler wie zum Beispiel per Default zugelassene Zugriffsmöglichkeiten. Der Umstand, dass ein SAP-Applikations-Server rund 1.500 einstellbare Parameter aufweise, von denen 15 bis 20 Prozent sicherheitsrelevant seien, zeige: Der Fokus dürfe nicht auf dem Ziel hundertprozentiger Abschottung liegen, sondern müsse sich auf möglichst schnelle Incident Response verlagern. Hier ist sich Unger einig mit Größen der Security-Branche wie etwa Bruce Schneier (LANline berichtete).

Onapsis’ Plattform umfasst die zwei Softwaremodule Sensor und Collector, die laut Onapsis-Manager Unger als Virtual Appliances „auf jedem gängigem VM-Host“ laufen. Der Sensor wird dabei im Datacenter installiert, in dem auch die SAP-Hosts angesiedelt sind, der zentrale Collector kommuniziere mit den Sensoren (je einer pro Netzwerk oder Standort) per HTTPS und könne damit beliebig positioniert sein.

Sensor ist eine Software, die den SAP-Datenverkehr auf Layer 4/7 im Hinblick auf Schwachstellen und die Einhaltung von Compliance-Vorgaben überprüft. Laut Unger ermittelt die Lösung im Rahmen einer mehrwöchigen Lernphase die Normalwerte selbsttätig; ein anschließendes Finetuning sei aber ratsam, Onapsis liefere dafür Best Practices.

Möglich, so Unger, ist der Einsatz des Sensors im Rahmen eines Black-Box-Scans (ohne User-Rechte) wie auch eines White-Box-Scans (mit Credentials). Die Lösung lausche auf einem Mirror Port und schreibe alle relevanten Informationen mit. Sämtliche Daten würden dabei mit nach Belieben definierbaren Tags versehen.

Der Collector dient als Web-basierte Plattform, mit der ein OSP-Benutzer Auswertungen und Reports erzeugt. Diese, so Unger, verschicke die Lösung als PDF oder Screenshot, lokal würden aber hier keine Daten gespeichert: Jeder Sensor unterhalte sein eigenes Repository, für Auswertungen würden immer nur Echtzeitdaten abgefragt. Damit, so betont der Onapsis-Manager, verblieben sämtliche sensiblen Monitoring- und Auditing-Daten stets im Rechenzentrum des Anwenderunternehmens.

Die entdeckten Auffälligkeiten übermittelt OSP entweder per E-Mail an das SOC (Security Operations Center) oder aber automatisiert an das jeweils im Unternehmen genutzte SIEM-System (Security-Information- und Event-Management), laut Unger entweder per REST-API oder auch programmatisch mittels „Machine-to-Machine-Kommunikation“. Die Bewertung der Alarme und das Incident-Response-Vorgehen lägen dann beim SOC-Team.

Neben den beiden Bausteinen „Vulnerability und Compliance“ sowie „Detection und Response“ bietet Onapsis auch noch einen „Advanced Threat Protection“-Dienst im Abonnement: Das Anwenderunternehmen erhält hierbei proaktiv Informationen über Zero-Day-Schwachstellen, die Onapsis’ SAP-Security-Spezialistenteam – laut Herstellerangaben über 30 Personen – entdeckt hat.

Die Einbindung dieser Erkenntnisse in die „Detection and Response“-Lösung erlaubt es SAP-Teams, das Schutzniveau auch in dem Zeitfenster zu wahren, bevor Patches ausgespielt werden, so Gerhard Unger: Onapsis erstelle sogenannte „Fingerprints“ der Schwachstellen, anhand derer OSP den Datenverkehr gezielt auf Vorgänge überwache, die auf das Ausnutzen dieser ungepatchten Lücken abzielen.

OSP umfasst eine eigene Benutzerverwaltung mit rollenbasiertem Zugriff. Dies ist laut Unger sinnvoller, als die Lösung an ein zentrales Directory anzudocken: Erstens gehe es stets nur um einen sehr kleinen Benutzerkreis, der OSP-Zugang erhalten soll; zweitens sei es durch die getrennte Benutzerverwaltung auch möglich, externe Audits durchzuführen, ohne die interne IT davon in Kenntnis zu setzen.

Die Onapsis Security Platform wird pro produktiver SAP-SID (System-ID) lizenziert. Die Kosten liegen laut Gerhard Unger bei zirka 4.500 Euro pro produktiver SAP-SID und Monat.

Das 2009 ursprünglich in Argentinien gegründete Unternehmen hat seinen Hauptsitz inzwischen im US-amerikanischen Boston und ist Venture-Capital-finanziert. Weitere Informationen finden sich unter www.onapsis.com.