Application Based IDS Reporting in the ERP system SAP R/3
Abstract
NORSK:
En IDS vil vanligvis varsle om tegn på innbrudd som
kommer fra kilder utenfor en organisasjons egne
datanettverk. Misbruk og innbrudd er likevel mer
sannsynlig fra en kilde internt i en organisasjon.
Omkostninger forbundet med internt misbruk er ofte
høyere, men generelt har oppmerksomheten likevel
en tendens til å dreie seg mot truslene som kommer
fra kilder utenfor organisasjonens egne datanettverk.
Interne problemer på dette området vil vanligvis
holdes skult på grunn av organisasjonens hensyn til
sitt renommé.
I tillegg til større risiki med tanke på manglende
internkontroll i data nettverk, finnes det to andre
faktorer som taler for en IDS inne i selve
applikasjonen. For det første, så rapporterer IS
avdelingene og IS konsulent-firma SLA (Service Level
Agreements) leveranser til ledelsen. Deler av SLA
statusmøter kan inneholde rapportering som
omhandler innbrudd og misbruk av
informasjonssystemene. For det andre, så har
compliance konseptet faktisk blitt en hovedsak i
forvaltningen av informasjonssystemer i større
organisasjoner. SOx (Sarbanes Oxley) lovgivningen
for aksjeselskaper som er registrert på New York
børsen er en pådriver til denne trenden.
Den største delen av aktiva i den industrialiserte
verden er forvaltet i ERP systemer. Det desidert mest
utbredte ERP systemet er SAP. Denne
masteroppgaven legger frem en prototyp for en IDS
løsning basert på SAPs egne sikkerhetslogging,
egenutviklede aksessroller og organisasjonens
implementerte SOD matrise. Forskningen i
forbindelse en sammenligning av ytelsen til systemet
når deg brukes i standard modus kontra anonymisert
og en ”false positive reduction” egenskap. ENGELSK:
Ordinarily, IDS deal with threats from sources
external to the organizations’ computer networks.
Still, it is common knowledge that organizations’
internal threats pose a greater risk and higher costs in
lost revenue. External threats tend to get more
publicity and focus since the internal problems in the
organizations are typically kept confidential due to
concerns with loss of reputation and good standing
with the public or the marketplace.
In addition to the risks involved with lack of internal
control in computer networks, there are two main
drivers for such a type of IDS. For one, the IS
departments and IS consulting firms have to report
deliveries of SLA (Service Level Agreements) to
management. Parts of SLA status meetings can cover
reporting of intrusions and misuse in the computer
systems. Secondly, the concept of compliance has, in
fact, become a major factor in computer systems
management for larger organizations. The SOx
(Sarbanes Oxley) legislation for corporations
registered on the NYSE is a major initiator to this
trend.
The largest share of assets in the industrialized world
is managed in ERP systems. The most widely used
ERP system, is SAP. This thesis presents a prototype
IDS solution based on using SAP’s own Security Audit
Logging, in-house defined access roles, and the
organization’s own SOD matrix. The research for this
new IDS solution compares the performance of
running the system in standard mode versus running
it with anonymization and a false positive reduction
trait.