SAP Enterprise Threat Detection zusammen mit Trend Micro gegen gezielte Angriffe

Originalbeitrag von Holger Viehoefer

Die Tools und Techniken, die bei gezielten, fortgeschrittenen Angriffen zum Einsatz kommen, sind „by Design“ darauf ausgerichtet, die Standard-Sicherheitslösungen mit ihren generischen Signaturen zu überlisten. Gegen diese Attacken bedarf es einer angepassten Verteidigung – Custom Defense –, also einer neuen Strategie, die die Notwendigkeit eines spezifischen Ansatzes und relevanter Intelligenz für jede Organisation und die Angriffe darauf erkennt. SAP-Systeme sind für Angreifer „High-Value“-Ziele, sind doch die Daten in einem SAP ERP-System von unternehmenskritischer Bedeutung. Deshalb müssen Angriffe darauf möglichst vermieden oder zumindest in einem frühen Stadium erkannt werden.

SAP hat mit SAP Enterprise Threat Detection eine neue Lösung im Angebot, die interne und externe Bedrohungen für die Systeme erkennen kann. Grundlage für das Erkennen der Angriffe sind vorgelieferte Pattern. Die Lösung überwacht verdächtiges Nutzer- oder Systemverhalten in der Systemlandschaft.

Es gibt verschiedene Arten, ein SAP-System anzugreifen. Es können Standard-Angriffstechniken wie Brute Force sein, interner Rechte- oder Entwicklungsmissbrauch, Exploits für unsichere Systemkonfigurationen und Identitätsdiebstahl.

Identitätsdiebstahl ist eine weit verbreitete Angriffstechnik und beginnt auf dem Gerät eines Mitarbeiter und nicht direkt auf einem Geschäftssystem. Gelingt es einem Angreifer ein Gerät (PC, Mobilgerät etc.) eines Mitarbeiters mit Zugriff auf ein SAP-System zu infizieren, so kann er die SAP-Zugangsdaten stehlen und sensible Geschäftsinformationen manipulieren oder herunterladen.

Um diese Art von Bedrohungen zu verhindern, ist es wichtig, moderne Sicherheitslösungen wie die von SAP und Trend Micro miteinander zu verbinden und ihre jeweiligen Stärken zu nutzen. SAP Enterprise Threat Detection ist darauf spezialisiert, Bedrohungen gegen Geschäftssysteme zu erkennen, und Trend Micros Stärken liegen auf Netzwerk-, Infrastruktur- und Endpoint-Ebene.

Obiges Bild beschreibt einen Angriff auf das Gerät eines Geschäftsanwenders mit hohen SAP-Zugriffsrechten. Zuerst legt der Angreifer eine Schadsoftware auf dem Gerät ab. Die Methoden dafür sind vielfältig:Drive-by Exploits, Phishing Mails, USB-Sticks. Danach holt er sich weitere Anweisungen vom Control Server. Die Schadsoftware kann den Nutzer-Input überwachen und warten, bis er sich mit Namen und Passwort bei einem SAP-System anmeldet. Kann die Schadsoftware die SAP-Zugangsinformationen stehlen, so versucht sie, eine Nutzersitzung zu emulieren.

Als Gegenmaßnahme gegen solche Angriffe können SAP Enterprise Threat Detection und Trend Micro Deep Discovery Inspector gemeinsam antreten. Beide haben eine wichtige Funktion während eines Sicherheitsvorfalls.


Der integrierte Ansatz

Bild 3 zeigt einen gezielten Angriff auf ein Unternehmen. Ziel ist ein PC eines Mitarbeiters mit Zugriffsrechten auf Geschäftssysteme. Trend Micro kann Informationen auf Netzwerkebene, Mail-Kommunikation und Endpunkte sammeln. Zudem können die Lösungen potenzielle Schadsoftware in einer Sandbox-Umgebung ausführen und deren Verhalten analysieren. SAP Enterprise Threat Detection trackt den Informationsfluss in den Geschäftssystemen, die das eigentliche Ziel des Angriffs sind. Die Lösung überwacht das Transaktionsverhalten, fügt den Geschäftskontext hinzu und das Monitoring der Audit Logs. Damit liefern die beiden Lösungen zusammen den IT-Sicherheitsteams Einsichten auf Infrastruktur- sowie auf Anwendungs-/Geschäftsebene, um die richtigen Aktionen zu ermöglichen.


Trend Micro Deep Discovery ist eine fortschrittliche Schutzplattform gegen Bedrohungen, die es möglich macht, versteckte, gezielte Angriffe zu erkennen, zu analysieren und darauf zu reagieren. Einzelheiten dazu finden Interessierte hier.


Technische Integration von Trend Micro Deep Discovery mit SAP Enterprise Threat Detection

Der Screenshot von Trend Micro Deep Discovery zeigt eine verdächtige Aktivität auf einem PC eines Mitarbeiters. Ein Host ist involviert. Die Informationen werden automatisch an SAP Enterprise Threat Detection geschickt.


Es ist einfach, Deep Discovery so zu konfigurieren, an andere Systeme Alerts zu versenden. Wichtig ist nun, SAP Enterprise Threat Detection dazu zu bringen, die CEF-Nachrichten von Trend Micro zu verstehen. Dafür müssen die Informationen von Deep Discovery normalisiert werden, damit sie im forensischen Lab genutzt werden können, wo die Bedrohungen analysiert und Erkennungsmuster erstellt werden.

Es geht um zwei Hauptaufgaben:

  1. Importieren und Durchführen eines Projekts zum SAP Event Stream Processor
  2. Vorbereiten der SAP Enterprise Threat Detection-Wissensdatenbank mit den entsprechenden Attributen für den CEF Threat Log

Die neuesten Informationen, die Datei für die Vorbereitung der Wissensdatenbank und das ESP-Projekt gibt es in SAP Note 2237819 – Integration with Trend Micro.

Das Common Event Format (CEF) ist ein syslog-Format, das Deep Discovery Inspector unterstützt, um die Integration mit Drittanbietersystemen zu ermöglichen. Ein Beispiel im CEF Threat Log:

CEF:0|Trend Micro|Deep Discovery Inspector|3.8.1175|20|Malware URL requested – Type 1|6|act=10 .201.156.143 dvcmac=00:0C:29:A6:53:0C dvchost=ddi38-143 deviceExternalId=6B593E17AFB7-40FBBB28-A4CE-0462-A536 rt=Mar 09 2015 11:58:25 GMT+08:00 app=HTTP deviceDirection=1 dhost=www.freewebs.com dst=216.52.115.2 dpt=80 dmac=00:1b:21:35:8b:98 shost=172.16.1.197 src=172.16.1.197 spt=12121 smac=fe:ed:be:ef:5a:c6 cs3Label=HostName_Ext cs3=www.freewebs.com fname=setting.doc fileType=0 fsize=0 act=not blocked cn3Label=Threat Type cn3=1 destinationTranslatedAddress=216.52.115.2 sourceTranslatedAddress=172.16.1.197 cnt=1 cs5Label=CCCA_DetectionSource cs5=GLOBAL_INTELLIGENCE cn1Label=CCCA_Detection cn1=1 cat=Callback cs6Label=pAttackPhase cs6=Command and Control Communication

  1. Importieren und Durchführen eines Projekts zum SAP Event Stream Processor

SAP Event Stream Processor (ESP) ist Teil der SAP Enterprise Threat Detection. Alle Ereignisse werden später in der SAP HANA-Datenbank gespeichert, doch werden sie erst an ESP geschickt. Einzelheiten bietet der Originalbeitrag.

  1. Vorbereiten der SAP Enterprise Threat Detection-Wissensdatenbank mit den entsprechenden Attributen für den CEF Threat Log

In SAP Enterprise Threat Detection 1.0 SP02 müssen die richtigen Attribute für die Trend Micro-Integration in der SAP HANA-Datenbank erzeugt werden. Einzelheiten bietet der Originalbeitrag.

Fazit

Als Ergebnis der Integration kann das Sicherheitsteam alle Ereignisse von Trend Micro filtern. Die Host-Informationen der Ereignisse können mit allen verfügbaren Daten aus SAP Enterprise Threat Detection kombiniert werden. Damit lassen sich einfach, ohne Programmierung Pattern erzeugen, um künftig in ähnlichen Situationen Alerts zu verschicken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.