Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 3: Kontinuierliche Überwachung von SAP-Anwendungen auf Anzeichen für eine Kompromittierung

Dies ist der letzte Teil unserer Reihe zur Verbesserung der Sicherheit auf Anwendungsebene als Teil Ihres proaktiven Ansatzes zur Abwehr von Ransomware. Falls Sie die vorherigen Teile verpasst haben: Wir haben erläutert, wie Angreifer gezielt Schwachstellen auf Anwendungsebeneals Einfallstornutzen, und wie Sie häufige Herausforderungen meistern und ein erfolgreiches SAP-Schwachstellenmanagementprogramm aufbauen können, umdie Angriffsfläche zu verringern. 

Natürlich ist es unerlässlich, die Angriffsfläche zu minimieren, doch wie wir wissen, ist es unrealistisch, alle möglichen Schwachstellen zu beseitigen. Zudem nimmt die Behebung von Schwachstellen Zeit in Anspruch, sodass immer ein Zeitraum verbleibt, in dem in Ihrer Infrastruktur ein gewisses Maß an ungelöstem Risiko besteht.  Deshalb ist die kontinuierliche Überwachung auf Anzeichen einer Kompromittierung eine logische Ergänzung jeder proaktiven Ransomware-Strategie (siehe die Leitlinien vonNISTundSAP in Zusammenarbeit mit Onapsis). 

Das leuchtet ein. Während Sie daran arbeiten, Sicherheitslücken zu beheben und Ihre Angriffsfläche zu verringern, überwachen Sie gleichzeitig verdächtiges Verhalten oder potenzielle Exploit-Aktivitäten, die auf die Sicherheitslücken abzielen, die Sie noch nicht beheben konnten. Leider tun sich Unternehmen oft schwer damit, für SAP ebenso effektive Programme zur Bedrohungsüberwachung aufzubauen wie für andere Systeme. Bedenken Sie die folgenden Herausforderungen: 
 

• Wie erkennt man verdächtige Aktivitäten?Herkömmliche Lösungen zur Erkennung von Bedrohungen sind für SAP-Bedrohungen nicht ausreichend geeignet. Ihnen fehlen die Erkennungsregeln, die neuesten Bedrohungsinformationen und Anleitungen zur Abwehr, die Sicherheitsteams benötigen, um ERP-spezifische Bedrohungen erfolgreich zu überwachen. Das bedeutet, dass Unternehmen oft auf manuelle Protokollüberprüfungen angewiesen sind, die zeitaufwändig sind und umfangreiches internes Fachwissen erfordern, um mit der sich ständig verändernden Bedrohungslage Schritt zu halten. 
   
• Wie analysieren Sie die einzelnen Aktivitäten, um zu wissen, welche Priorität sie haben?InfoSec- und SOC-Teams verfügen oft nicht über ausreichende Ressourcen und sind mit SAP-Systemen noch nicht vertraut. Ihnen fehlt die Zeit oder das SAP-Fachwissen, um jede potenzielle Bedrohung zu analysieren und zu verstehen, wie darauf zu reagieren ist. Dies kann zu verzögerten Reaktionen führen oder dazu, dass böswillige Aktivitäten unbemerkt bleiben. 
   
• Wie integrieren Sie SAP-Ereignisse in Ihr SOC? AlsSicherheitszentrale eines Unternehmens benötigt Ihr SOC Einblick in SAP-Bedrohungen, damit diese in umfassendere Sicherheitsmanagement- und Incident-Response-Prozesse eingebunden werden können. Die Konfiguration Ihrer SOC-Tools (z. B. SIEM, SOAR) für die direkte Auswertung von SAP-Protokollen erfordert jedoch umfangreiches internes SAP-Sicherheits-Know-how sowie Zeit und Ressourcen. Und selbst dann müssen diese Rohdaten noch im Sicherheitskontext eingeordnet und priorisiert werden.

Es gibt einen einfacheren Weg: Überwachen Sie Ihre SAP-Anwendungen kontinuierlich mit Onapsis

Mit dem richtigen Partner können Sie Anzeichen für Kompromittierungen, die möglicherweise mit einem Ransomware-Angriff in Verbindung stehen, effektiv überwachen. Hier kommt Onapsis ins Spiel.Onapsis Defendlöst die typischen Herausforderungen, die Unternehmen daran hindern, erfolgreiche Programme zur Bedrohungsüberwachung rund um SAP aufzubauen. Defend mehr als nur ein SAP-Plugin – Defend Teil der Platform, der einzigen Cybersicherheits- und Compliance-Lösung imSAP Endorsed Apps-Programm. 

• Sichern Sie sich sofort einsatzbereite, branchenführende SAP-Bedrohungserkennung: MitOnapsis erhalten Sie Zugriff auf die fortschrittlichsten Erkennungsregeln der Branche, einschließlich der Erkennung von Zero-Day-Bedrohungen, ergänzt durch Anomaliewerte und die Analyse des Benutzerverhaltens. Unsere Regeldatenbank wird regelmäßig mit den neuesten threat intelligence den preisgekrönten Onapsis Research Labs „ORL“) aktualisiert, demproduktivsten und renommiertesten Mitwirkenden im Bereich Schwachstellenforschungfür das SAP Product Security Response Team. 
   
• Nutzen Sie fachkundige SAP-Bedrohungsinformationen, um Prioritäten zu setzen und die Reaktion zu beschleunigen: Siemüssen kein SAP-Sicherheitsexperte sein, um potenzielle Bedrohungen zu erkennen. Machen Sie Ihre SOC-Analysten mit anpassbaren Echtzeit-Warnmeldungen, die wertvolle Details zu Schweregrad, Ursache und empfohlenen Abhilfemaßnahmen liefern, sofort zu SAP-Bedrofungsexperten, um die Analyse- und Reaktionszeiten bei Vorfällen zu verkürzen.  Außerdemhabenwires kürzlichfür Nutzer, die mit SAP nicht vertraut sind,noch einfacher gemacht, verdächtige Benutzeraktivitäten zu melden, wie z. B. die Vergabe von Berechtigungen mit hohen Privilegien oder die Durchführung wichtiger Vorgänge, die im Rahmen einer Ransomware- oder einer anderen Cyberattacke ausgenutzt werden könnten. 
   
• Integrieren Sie kuratierte SAP-Ereignisse in das SOC: Onapsis Defend sich in bestehende SOC-Tools (z. B. SIEMs) und Workflows integrieren, sodass kuratierte SAP-Vorfälle in Echtzeit in übergeordnete Sicherheitsmanagement- und Incident-Response-Prozesse eingebunden werden können. Dies reduziert zudem „Rauschen“ und die Datenmenge, die in Ihr SIEM gelangt.  
   
• Fügen Sie eine weitere Schutzebene hinzu:Darüber hinaus können Sie Ihr Toolkit für den proaktiven Schutz vor Ransomware um ein weiteres Tool erweitern, indem Sie threat intelligence Onapsis threat intelligence mit unserem Defend Detection Rule Pack threat intelligence die Netzwerkebene ausweiten. Im Gegensatz zu anderen Lösungen, die Sie an einen einzigen Anbieter binden, können Sie jedes Ihrer bestehenden Netzwerksicherheitsprodukte mit herstellerunabhängigen, Open-Source-Regeln erweitern, die von ORL geschrieben wurden und vor Bedrohungen warnen (und diese je nach den Fähigkeiten Ihrer Netzwerksicherheit möglicherweise blockieren), bevor sie Ihre SAP-Anwendungen erreichen. 
   

Es ist an der Zeit, die Bedrohung durch Ransomware für geschäftskritische Anwendungen ernster zu nehmen 

Wir haben esschon einmalgesagt und werden es auch weiterhin sagen, solange Ransomware eine solche Bedrohung für Unternehmen auf der ganzen Welt darstellt: Wenn Sie mit Ihrer Ransomware-Strategie erfolgreich sein wollen, dürfen Sie die Anwendungsebene nicht vernachlässigen. 

Brauchen Sie Hilfe beim Einstieg? Dafür sind wir da. Onapsis ist der Branchenstandard für Cybersicherheit bei Unternehmensanwendungen undgenießt das Vertrauen von fast 30 % der Forbes Global 100. Sprechen Sie noch heute mit uns darüber, wie wir Ihnen helfen können, Ihre SAP-Angriffsfläche zu minimieren und kontinuierlich auf Anzeichen für Kompromittierungen zu überwachen, damit Sie Ransomware immer einen Schritt voraus sind.  

Lesen Sie auch die anderen Teile dieser Reihe:

• Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 1: Die Anwendungsebene darf nicht vernachlässigt werden 
• Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 2: Vermeidung von Sicherheitslücken in SAP-Anwendungen