Wie sich die vorgeschlagenen Änderungen an den OWASP Top 10 auf SAP und Oracle auswirken würden

Von:

13. April 2017

Auch wenn sie sich noch im Release-Candidate-Stadium befinden, bieten die derzeit vorgeschlagenen Änderungen an den„OWASP Top 10 Application Security Risks“klare Leitlinien für jedes Unternehmen, das seine kritischen Geschäftsanwendungen sichern und schützen muss. Generell lassen sich die „OWASP Top 10“ und diese beiden Ergänzungen direkt auf einen Ansatz und eine Methodik zur Absicherung von ERP-basierten Geschäftsanwendungen und -systemen anwenden.

Die beiden Ergänzungen lauten:

  • 2017-A7: UNZUREICHENDER SCHUTZ VOR ANGRIFFEN:

    Den meisten Anwendungen und APIs fehlt die grundlegende Fähigkeit, sowohl manuelle als auch automatisierte Angriffe zu erkennen, zu verhindern und darauf zu reagieren. Der Schutz vor Angriffen geht weit über eine einfache Eingabevalidierung hinaus und umfasst die automatische Erkennung, Protokollierung, Reaktion und sogar Blockierung von Exploit-Versuchen. Anwendungsbetreiber müssen zudem in der Lage sein, Patches schnell bereitzustellen, um sich vor Angriffen zu schützen.

  • 2017-A10: UNZUREICHEND GESCHÜTZTE APIs:

    Moderne Anwendungen umfassen häufig Rich-Client-Anwendungen und APIs, wie beispielsweise JavaScript im Browser und mobile Apps, die eine Verbindung zu einer API herstellen (SOAP/XML, REST/JSON, RPC, GWT usw.). Diese APIs sind oft ungeschützt und weisen zahlreiche Sicherheitslücken auf.

Diese Änderungen sind weder zufällig noch ad hoc vorgenommen worden, sondern basieren auf Daten zu Sicherheitslücken, die aus Hunderten von Organisationen sowie aus über 50.000 realen Anwendungen und APIs stammen. Die Top-10-Einträge werden anhand dieser Prävalenzdaten in Verbindung mit Konsensschätzungen hinsichtlich Ausnutzbarkeit, Erkennbarkeit und Auswirkungen ausgewählt und priorisiert.

Betrachtet man diese beiden Änderungen unter dem Gesichtspunkt der ERP-Sicherheit, wird deutlich, wie wichtig diese Kontrollmaßnahmen für den sicheren Betrieb von ERP-Systemen und -Anwendungen sind.

2017-A7: Unzureichender Schutz vor Angriffen

In der Beschreibung dieses Anwendungssicherheitsrisikos heißt es: „Angriffsschutz geht weit über eine einfache Eingabevalidierung hinaus und umfasst die automatische Erkennung, Protokollierung, Reaktion und sogar Blockierung von Exploit-Versuchen.“ Diesentspricht der gängigen Sicherheitspraxis, geeignete Maßnahmen zu ergreifen und Investitionen zu tätigen, um Angriffe zu verhindern, geht jedoch auch davon aus, dass das System trotz dieser Bemühungen letztendlich kompromittiert wird. Unternehmen müssen in der Lage sein, zu erkennen, dass sie angegriffen wurden, um so schnell wie möglich reagieren und die Auswirkungen der Kompromittierung mindern zu können.

Dies ist seit unserer Gründung die Sichtweise von Onapsis, und tatsächlich liest sich die Beschreibung dieses Risikos wie unser Leitbild, da die Onapsis Security Platform OSP) entwickelt wurde, um diese Überzeugungen umzusetzen. Die OSP analysiert geschäftskritische Anwendungen wie SAP- und Oracle-Systeme, um fehlende Sicherheitspatches und Konfigurationsprobleme zu melden, die eine Kompromittierung des Systems ermöglichen würden. Darüber hinaus überwacht die OSP das System automatisch, um Angriffe zu erkennen und auf der Grundlage von Regeln zu reagieren, die vom Unternehmen festgelegt wurden. Durch virtuelles Patching können Exploit-Versuche blockiert werden, noch bevor sie die ERP-Systeme erreichen.

2017-A10: Unzureichend geschützte APIs

Unzureichend geschützte APIs stellen in der SAP-Welt eine echte Herausforderung dar. Diese APIs werden alsRFC-Destinationen bezeichnet; über diese Verbindungen können SAP-Systeme Geschäftsprozesse ausführen (wie beispielsweise die Abwicklung von Kundenaufträgen, die Anpassung von Lagerbeständen und die Ausführung von Zahlungen). Wenn diese Verbindungen jedoch ohne Sicherheitsprüfung definiert wurden, können sie das Unternehmen einem hohen Sicherheitsrisiko aussetzen. Die Herausforderung für das Unternehmen besteht darin, zu verstehen, welche APIs verfügbar sind und wie sie genutzt werden. Da ERP-Systeme unbeaufsichtigte Aktionen zulassen, sind sich Systemadministratoren und Geschäftsinhaber oft nicht über den Umfang und den Zweck dieser API-Aufrufe im Klaren, die in ihren Systemen enden oder von dort aus initiiert werden.

Da OSP von Anfang an unter Berücksichtigung der Sicherheits- und Compliance-Anforderungen von Unternehmen entwickelt wurde, ist es in der Lage, alle Verbindungen zwischen den von OSP überwachten ERP-Systemen zu identifizieren und darzustellen. Darüber hinaus liefert OSP detaillierte Informationen zum jeweiligen Risiko dieser Verbindungen, sodass die Überprüfungs- und Abhilfemaßnahmen gezielt auf jene Verbindungen ausgerichtet werden können, die das größte Risiko für das Unternehmen darstellen.

_Topologie
Die in der Onapsis Security Platform angebotene Topologiekarte

Für diejenigen, die dafür sorgen müssen, dass ERP-Systeme sicher und konform bleiben, ist es wichtig, Änderungen an Sicherheitsrahmenwerken – wie sie beispielsweise von der OWASP vorgeschlagen werden – zu berücksichtigen. Diese vorgeschlagenen Änderungen tragen dazu bei, dass die Sicherheits- und Audit-Anforderungen des Unternehmens mit den Bedrohungen in Einklang stehen, die die OWASP-Community derzeit als die dringlichsten und kritischsten für Anwendungen ansieht.

Glücklicherweise profitieren Nutzer von OSP bereits von der Abdeckung neuer Einträge in den OWASP Top Ten. Da OSP darauf ausgelegt ist, die Sicherheitsanforderungen unserer Kunden zu erfüllen, und sich an den Prognosen unserer Forschungslabore orientiert, ist es das einzige Produkt, das kommende Sicherheitstrends vorwegnimmt und Sie so stets optimal schützt. Angesichts der sich ständig weiterentwickelnden Bedrohungen für ERP-Systeme können Sie sich darauf verlassen, dass OSP stets auf dem neuesten Stand ist, um neuen Bedrohungen für Ihre Unternehmensanwendungen entgegenzuwirken.

Stichworte, , , ,
Über den Autor

Alex Horan

Alex Horan ist Vice President of Product Management bei Onapsis, wo er sich auf die Entwicklung von Lösungen für SAP-Sicherheit und das Schwachstellenmanagement in ERP-Systemen konzentriert. Mit über 18 Jahren Erfahrung verfügt Alex über eine nachgewiesene Erfolgsbilanz bei der Unterstützung großer Unternehmen bei der Verbesserung ihrer Sicherheitslage. Seine Fachkenntnisse umfassen Schlüsselbereiche wie Schwachstellenanalyse, Penetrationstests und Systemaudits, was ihn zu einer vertrauenswürdigen Stimme bei Themen wie SAP-Compliance und sicherer Systemkonfiguration macht. Er setzt sich dafür ein, dass die Produkte von Onapsis einen fortschrittlichen Schutz vor realen Bedrohungen wie Ransomware und unbefugtem Zugriff bieten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen