Anwendungssicherheit: Expertentipps von JP Perez-Etchegoyen, CTO bei Onapsis

Dieser Artikel wurde ursprünglich in „Safety Detectives“ veröffentlicht.

Heutzutage werden Anwendungen zunehmend in der cloud bereitgestellt cloud sind damit zusätzlichen Sicherheitsrisiken ausgesetzt, die mit stets verfügbaren und von überall aus zugänglichen cloud einhergehen. Aus diesem Grund sind Tests zur Anwendungssicherheit für Unternehmen jeder Größe unverzichtbar geworden, die Datenlecks und zumindest diegängigsten Cyber-Bedrohungen vermeiden wollen.

Heutzutage werden Anwendungen zunehmend in der cloud bereitgestellt cloud sind damit zusätzlichen Sicherheitsrisiken ausgesetzt, die mit stets verfügbaren und von überall aus zugänglichen cloud einhergehen. Aus diesem Grund sind Tests zur Anwendungssicherheit für Unternehmen jeder Größe unverzichtbar geworden, die Datenlecks und zumindest diegängigsten Cyber-Bedrohungen vermeiden wollen.

Dies ist besonders wichtig für geschäftskritische Anwendungen, die ununterbrochen laufen müssen, um sicherzustellen, dass alle Geschäftsabläufe ohne Unterbrechungen weiterlaufen.

In diesem Interview finden Sie Tipps zur Anwendungssicherheit von JP Perez-Etchegoyen, CTO und Mitbegründer von Onapsis, einem Unternehmen, das Cybersicherheitslösungen für 20 % der Fortune-100-Unternehmen weltweit bereitstellt.

Lesen Sie weiter, um zu erfahren, wie Sie Ihre geschäftskritischen Daten besser schützen können und wie die Platform Onapsis Research Labs Sie bei der Anwendungssicherheit unterstützen Onapsis Research Labs .

Erzählen Sie uns die Geschichte hinter Onapsis: Wie hat alles angefangen, und wie hat sich das Projekt bisher entwickelt?

Mariano Nunez, Gründer und CEO von Onapsis, begann seine Karriere als professioneller Ethical Hacker für einen bekannten Sicherheitsforscher in Argentinien. Ein Kunde hatte ihn beauftragt, in seine Anwendungen einzudringen und Sicherheitslücken aufzudecken, bevor dies Angreifern gelingen könnte. Mariano testete die Anwendungen, als ihm auffiel, dass sie auf SAP liefen, einer der wichtigsten Geschäftsanwendungen, die die Weltwirtschaft antreiben, und identifizierte dabei äußerst kritische Schwachstellen. Mariano erkannte schnell, dass die Sicherheitscommunity SAP-Schwachstellen vernachlässigt hatte und er der Erste war, der sie entdeckt und untersucht hatte. Mariano erkannte eine große Marktchance, die weltweit wichtigsten geschäftskritischen Anwendungen zu sichern, und gründete daraufhin Onapsis.

Seit der Gründung von Onapsis im Jahr 2009 haben Unternehmen weltweit den Einsatz der platform erheblich ausgeweitet, platform Transparenz, threat intelligence und Effizienzgewinne zu erzielen und so geschäftskritische Anwendungen cloud, in Hybridumgebungen und vor Ort zu schützen. Onapsis schützt mittlerweile kritische Daten für mehr als 300 globale Unternehmen, darunter 20 % der Fortune-100-Unternehmen, und ist in den letzten drei Jahren um 187 % gewachsen.

Können Sie uns etwas über die Onapsis Platform erzählen? Was sind ihre wichtigsten Funktionen?

Onapsis ist das einzige Produkt für Schwachstellenmanagement und Anwendungssicherheit auf dem Markt, dasspeziell auf geschäftskritische Anwendungenzugeschnitten ist, die auf SAP, Oracle und Salesforce laufen. Die Platform fünf Produkte: Assess, Defend, Comply, Control Code und Control Transports.

Diese Produkte ermöglichen es,Schwachstellen zuverwalten,Bedrohungen zu erkennen und darauf zu reagieren,die Anwendungssicherheit zu testen sowiedie Einhaltung von Vorschriften zu automatisieren. Dank der Funktionen unserer platform können Unternehmen, die kritische Anwendungen nutzen, Bedrohungen identifizieren und abwehren sowie Schwachstellen beheben – und das in kurzer Zeit und mit geringem Aufwand, da diese Routineaufgaben nahtlos automatisiert werden.

Wir aktualisieren und verbessern die Platform kontinuierlich, Platform den Entwicklungen in der Branche Platform . Vor einigen Monaten haben wir die platform zwei neue Funktionen erweitert: Im Mai kündigten wir ein neues Angebot namens„Onapsis Assess Baseline an, das Unternehmen dabei unterstützt, ihre SAP-Schwachstellenmanagement-Programme schneller auf den Weg zu bringen. Im Juni haben wirerweiterte Informationssicherheitslösungenfür unsere Assess Defend Assess angekündigt, darunter ein neues „Network Detection Rule Pack Onapsis Defend verbesserte Unterstützung für die platform SAP SuccessFactors, eine cloud Lösung für das Personalmanagement (HCM).

Und welche Rolle spielen die Onapsis Research Labs?

Onapsis Research Labs verfolgt, identifiziert und wehrt ständig Cyberbedrohungen ab, die stündlich neu auftauchen. Das aus Cybersicherheitsexperten bestehende Forschungsteam veröffentlicht Warnmeldungen, Publikationen und threat reports Kunden dabei zu helfen, ihre geschäftskritischen Anwendungen vor neuen Bedrohungen zu schützen, und verbessert gleichzeitig die Platform die Produktqualität Platform steigern. Onapsis Research Labs über 800 Zero-Day-Schwachstellen entdeckt, und viele der kritischen Erkenntnisse führten zu weltweiten CERT-Warnungen. Im Februar dieses Jahres Onapsis Research Labs die Bemühungen von Onapsis Research Labs zur Entdeckung vondrei kritischen, ausnutzbaren Netzwerk-Schwachstellenim Internet Communication Manager, einer Kernkomponente von SAP-Geschäftsanwendungen, die inzwischen von SAP behoben wurden. Onapsis-Kunden wurden durch Updates direkt in der Platform geschützt. Darüber hinaus veröffentlichte Onapsisein kostenloses Scan-Tool, mit dem Kunden feststellen können, ob ihre SAP-Anwendungen für die neu entdeckten Schwachstellen anfällig sind.

Wie sieht Ihr Verfahren für die Prüfung der Anwendungssicherheit aus?

Onapsis bietetautomatisierte Sicherheitstests, die speziell für SAP-Anwendungen entwickelt wurden. Unternehmen können unsere Lösung in ihre SAP-Entwicklungsprozesse integrieren, um Fehler schnell zu erkennen, bevor diese in die Produktion gelangen oder die Anwendungssicherheit, Compliance, Verfügbarkeit oder Leistung beeinträchtigen können. Die Platform ihnen, während des gesamten Anwendungsentwicklungszyklus den Code von Drittanbietern sowie interne Anpassungen und Transporte zu überprüfen, um sicherzustellen, dass keine zusätzlichen Risiken in ihre geschäftskritischen Systeme gelangen.

Können Sie uns Ihre bewährten Verfahren für die Anwendungssicherheit mitteilen?

Wenn es um die Sicherheit geschäftskritischer Anwendungen geht, gibt es einige bewährte Vorgehensweisen, die IT-Teams befolgen sollten, um sicherzustellen, dass ihre wertvollsten Ressourcen vor raffinierten Angreifern geschützt sind:

Patch-Management: Obwohl Schwachstellen oft Hauptziele für Cyberkriminelle sind, hinken Unternehmen beim Patch-Management deutlich hinterher. Tatsächlich ergabeine von Onapsis, SAP und CISA durchgeführte Untersuchung, dass die Patch-Lücke – also die Zeitspanne vom Entdecken einer Schwachstelle bis zum Anwenden, Testen und vollständigen Implementieren eines Patches – 97 Tage beträgt. Dieselbe Untersuchung zeigte jedoch, dass kritische SAP-Schwachstellen bereits innerhalb von 72 Stunden oder weniger nach der Veröffentlichung eines Patches ausgenutzt wurden. Es ist unerlässlich, dass Sicherheitsteams über eine umfassende Übersicht über alle Schwachstellen in ihrem IT-Ökosystem verfügen und Patches sofort nach ihrer Veröffentlichung bereitstellen, um ihre Angriffsfläche so weit wie möglich zu minimieren.

Sicherheitslücken in benutzerdefiniertem Code: Unternehmen nutzen benutzerdefinierten Code, um ihre aktuellen Geschäftsprozesse und Funktionen an ihre geschäftskritischen Anwendungen anzupassen. Allerdings sind Anweisungen in benutzerdefiniertem Codesehr anfällig für Schwachstellen. Unternehmen können Fehler in benutzerdefiniertem Code beheben, indem sie automatisierte Lösungen einsetzen, um unzählige Codezeilen schnell zu scannen und zu überprüfen, versteckte Schwachstellen zu identifizieren und diese umgehend zu beheben.

Welche Trends im Bereich Cybersicherheit werden Ihrer Meinung nach in naher Zukunft entscheidend sein?

Wir haben in den letzten Jahren genug schwerwiegende Angriffe erlebt (wie die Angriffe auf Colonial Pipeline,Log4j und die Kaseya-Ransomware), um zu wissen, dass Angreifer selbst bei starken Sicherheitsvorkehrungen immer noch über die Mittel und die Raffinesse verfügen, um geschäftskritische Systeme anzugreifen. Unternehmen werden zunehmend erkennen, wie wichtig es ist, umfassende Playbooks für die Reaktion auf Vorfälle zu erstellen, die potenzielle Szenarien für Cyberangriffe mit detaillierten Maßnahmenplänen beschreiben. Durch die proaktive Festlegung eines festen Plans für verschiedene Arten von Cybervorfällen erhalten Unternehmen ein klares Verständnis dafür, wie sie reagieren müssen, und ihre Geschäftsprozesse können ohne größere Unterbrechungen weiterlaufen.

Unternehmen, die Cybersicherheit mit klaren Strategien in die Praxis umsetzen möchten, können auf Cybersicherheits-Frameworks wie dasNIST Cybersecurity Framework zurückgreifen, das ihnen dabei hilft, die notwendigen Schritte zur Umsetzung von Cybersicherheit im Unternehmen zu strukturieren

Und schließlich: Wie sehen die Zukunftspläne für Onapsis aus?

Durch kontinuierliche Forschung und umsetzbare Threat Intelligence wird Onapsis die Sicherheit von Unternehmen weiter verbessern, deren Geschäftsbetrieb von geschäftskritischen Anwendungen abhängt. Darüber hinaus unterstützt Onapsis Unternehmen durch die Zusammenarbeit mit SAP und Oracle bei der Erforschung kritischer Schwachstellen und Bedrohungen weiterhin dabei, einige der gravierendsten Sicherheitslücken zu beheben. All dieses Wissen fließt in die Platform ein Platform die Sicherheit von Geschäftsanwendungen Platform automatisieren.

Weiterführende Literatur

• SAP Patch Day: Onapsis Research Labs leistet Onapsis Research Labs Beiträge zu den SAP-Sicherheitshinweisen und veröffentlicht seine Analysen jeden Patch Tuesday.
• Whitepaper:Abwehr der Bedrohung durch Ransomware für geschäftskritische SAP-Anwendungen
• Whitepaper:5 Gründe, warum Sie ein Schwachstellenmanagement für geschäftskritische Anwendungen benötigen