Onapsis-Ankündigung: Virtuelles Patching in SAP-Implementierungen
Private Beta der Onapsis Securiy Platform im Verlauf des Jahres allgemein verfügbar
München/Boston, 12.5.2016 Onapsis, globaler Experte für die Sicherheit geschäftskritischer Applikationen, hat heute seine neue Virtual-Patching-Funktionalität vorgestellt. Sie bietet unmittelbaren Schutz gegen das Ausnutzen von Schwachstellen in On-Premise- und Cloud-basierten SAP-Anwendungen. Die Neuerung wird ab sofort als Private Beta ausgewählten Kunden und Entwicklungspartnern zur Verfügung gestellt. Im Verlauf des Jahres 2016 wird sie als Teil der Onapsis Security Platform (OSP) allgemein verfügbar sein. OSP ermöglicht als kontextsensitive Lösung präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen sowie Echtzeitfunktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten bedrohen.
Virtuelle Sicherheitspatches können mit dem neuen Private Beta sofort in SAP-Systemen angewendet werden, sobald die Onapsis Security Platform ein neues Sicherheitsrisiko oder eine Verletzung von SAP-Sicherheitsrichtlinien feststellt. Gleichzeitig schützt die Funktion Abonnenten des OSP-Advanced-Threat-Protection (ATP)-Dienstes vor Zero-Day-Angriffen auf SAP-Systeme, wenn solche von den Onapsis Research Labs entdeckt werden. Die Kunden erhalten damit einen außergewöhnlichen Schutz gegen fortschrittliche Cyberangriffe.
Onapsis Virtual Patching bietet folgende Vorteile:
- unmittelbare Anwendung virtueller Sicherheitspatches, sobald kritische Risiken gefunden werden;
- gestaffelte Anwendung der Patches: Patches können nur gegen Anbindungen von Systemen an ungeschützte Netzwerke implementiert werden;
- Minimierung des „Vulnerability“-Fensters bei neuen Risiken und Zero-Day-Schwachstellen;
- Zeit- und Kostenersparnis im Vergleich zu manuellem Patchen;
- Minimierung des Risikos, dass Dienste durch fehlerhafte manuelle Patches nicht mehr zur Verfügung stehen;
- Steigerung des Return on Investment in existierende IT- und Sicherheitsinvestitionen;
- Schutz geschäftskritischer Anwendungen und Prozesse; sowie eine
- Vereinfachung der Sicherheitsdienstleistungen für Betreiber cloudbasierter SAP-Infrastrukturen.
Notwendigkeit eines Virtual Patching SAP-gestützte Anwendungen sind schon lange ein attraktives Ziel für Cyberkriminelle. Unternehmen benötigen gerade für SAP-Anwendungen schneller wirkende Schutzmechanismen. Denn sie verlassen sich auf die Funktionalität ihrer unternehmenskritischen SAP-gestützten Geschäftsprozesse. Individuelle SAP-Systeme bieten zudem auch Partnern, Zulieferern und Kunden im Unternehmen zentrale Dienstleistungen. Werden diese Systeme nicht korrekt verwaltet und gesichert, können Angreifer eine Schwachstelle oder eine Fehlkonfiguration in der individuellen SAP-Implementierung ausnutzen. Damit erlangen sie Zugriff auf unternehmenskritische Informationen wie Kundendaten, Preislisten, Informationen über Finanzen, Mitarbeiter, Zulieferer, Budgets, Planungen, Forecasts sowie Business Intelligence.
Auch der Ressourcenmangel in Unternehmen macht sofort wirksame virtuelle Patch-Funktionalitäten nötig. „Während IT-Sicherheitsteams nicht genug Zeit haben, die Komplexität der SAP-Implementierungen zu verstehen, fehlt den SAP-Basis-Teams die Zeit für eine ordnungsgemäße Überprüfung und Planung der monatlich veröffentlichten SAP-Sicherheitspatches. In der Praxis sind sie oft dazu gezwungen, Sicherheitsupdates zu ignorieren und sich auf Funktionalitätsänderungen ihrer SAP-Anwendungen zu konzentrieren. In der Folge bedrohen oft längst bekannte Schwachstellen und Insider-Wissen viele SAP-Implementierungen“, sagt Alex Horan, Director of Product Management bei Onapsis.
Die Studie “Top Three Cyber Attack Vectors for SAP Systems” der Onapsis Research Labs zeigt, in welchem Maße dieser Ressourcenmangel die Sicherheit von SAP-Implementierungen gefährdet: Unternehmen brauchen im Schnitt rund 18 Monate oder mehr, um Patches zu installieren. Bei über 200 allein im Jahr 2015 veröffentlichten Patches für als “high priority” eingestufte Sicherheitslücken sind die Folgen des Zeitmangels also enorm.
Onapsis arbeitet deshalb mit zahlreichen führenden Anbietern von Next-Generation-Intrusion-Prevention-Systemen zusammen. Deren Lösungen schützen die Betriebssysteme und die SAP-Anwendungen unterstützenden Datenbanken. Sie sichern aber nicht die individuellen Anwendungen wie SAP. „Zu betonen ist, dass SAP-Anwendungen in jedem Unternehmen im hohen Grad dafür angepasst sind, die Anforderungen der Interoperabilität im jeweiligen Unternehmen zu erfüllen“, erläutert Horan weiter. „Wegen der immer individuellen SAP-Implementierungen gibt es keine Standards für die Überwachung und den endgültigen Schutz gegen Attacken, die auf Fehlkonfigurationen im System zielen. Mit unseren patentierten und SAP-zertifizierten Lösungen und durch unsere Partnerschaften bietet Onapsis das spezialisierte Wissen für einen weitergehenden Schutz von SAP-Anwendungen.“
Weitere Informationen zu den neuen Funktionalitäten bietet Onapsis am Donnerstag, den 26. Mai 2016 im Webcast. Anmeldung unter: https://onapsis.com/news-and-events/webcasts/reducing-sap-attack-exposure-virtual-security-patching
Über Onapsis
Onapsis liefert die vollständigste Security-Lösung für das Absichern von geschäftskritischen SAP- und Oracle-Applikationen. Als führender Experte für SAP- und Oracle-Cyber-Security bietet Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, CyberRisiken und Compliance-Lücken, die ihre Unternehmensanwendungen bedrohen.
Onapsis hat seine Hauptniederlassung in Boston, Massachuchettes (USA) und unterstützt mit seinen Lösungen 180 der Global 2000 Unternehmen, darunter 10 führende Handelsunternehmen, 20 führende Energiekonzerne und 20 führende herstellende Unternehmen. Onapsis Lösungen sind darüber hinaus der De-factoStandard für führende Beratungs- und Audit-Firmen wie Accenture, IBM, Deloitte, Ernest & Young, KPMG und PwC.
Zu den Lösungen von Onapsis zählt die Onapsis Security Plattform (OSP) – die meistgenutzte SAP-zertifizierte Cyber-Security-Lösung im Markt. Anders als generische Sicherheitsprodukte ermöglichen Onapsis kontextsensitive Lösungen sowohl präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen als auch Echtzeitfunktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten bedrohen.
Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration Unternehmensanwendungen in bestehende Schwachstellen-, Risikound Response-Managementprogramme.
Die Lösungen greifen auf das Onapsis Research Labs zurück, das mit intelligenten Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAPSysteme betreffen. Die Experten des Onapsis Research Labs waren die ersten, die über SAP-betreffende Cyber-Attacken berichtet haben. Sie haben mittlerweile hunderte Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Schwachstellen können die SAP Business Suite, SAP HANA, SAP Cloud und SAP Mobile-Installationen sowie Oracle JD Edwards und Plattformen der Oracle E-Business Suite betreffen.
Weitere Informationen sind unter www.onapsis.com, sowie über Twitter, Google+ oder LinkedIn erhältlich..
Onapsis und Onapsis Research Labs sind eingetragene Markenzeichen von, Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Markenzeichen ihrer jeweiligen Eigentümer.