Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 2: Vermeidung von Sicherheitslücken in SAP-Anwendungen

Falls Sie es verpasst haben:Im ersten Teil dieser Reihehaben wir darüber gesprochen, wie wichtig es ist, die Sicherheit auf Anwendungsebene zu stärken, um proaktiv gegen Ransomware vorzugehen. Wir wissen, dass ausgenutzte Sicherheitslücken diehäufigste Ursache für Ransomware-Angriffesind, und wir wissen auch, dass AngreiferSAP-Anwendungen gezieltals Einfallstor in Unternehmenssystemenutzen. 

Die Vermeidung dieser Anwendungsschwachstellen, bevor sie ausgenutzt werden können, ist ein wesentlicher Bestandteil einer proaktiven Ransomware-Strategie, wie sie vomNISTund vonSAP(in Zusammenarbeit mit Onapsis) empfohlen wird. Die Erfassung der Angriffsfläche Ihres SAP-Systems und die Behebung dieser Schwachstellen sind jedoch leichter gesagt als getan. Bedenken Sie die folgenden Herausforderungen:

• Welche Patches sollten Sie vorrangig behandeln?Angesichts der Häufigkeit von Releases, der Komplexität des Patch-Prozesses und der Größe der Anwendungslandschaften sehen sich die meisten Unternehmen mit einem Rückstau an Patches konfrontiert, während ihre Teams personell unterbesetzt sind. Woher wissen Sie, worauf Sie Ihre Bemühungen konzentrieren sollten?
   
• Wurden Ihre Patches vollständig und korrekt installiert? Die Installation von Patcheswird in der Regel von den Anwendungsteams oder manchmal auch von einem externen Dienstleister übernommen. Wie können Sie deren Arbeit überprüfen? 
   
• Welche Sicherheitslücken gibt es neben fehlenden Patches noch?Zunächst müssen Sie die bewährten Sicherheitsverfahren für die Anwendungskonfiguration, benutzerdefinierten Code sowie Benutzerrechte und -berechtigungen verstehen. Anschließend benötigen Sie eine Möglichkeit, um zu überprüfen, ob die Anwendungen in Ihrer gesamten Infrastruktur diese bewährten Verfahren einhalten. Sich hierfür auf manuelle Sicherheitsüberprüfungen zu verlassen, ist jedoch sowohl zeitaufwendig als auch fehleranfällig.
   
• Welche Schwachstellen sollten Sie zuerst beheben?Manche Schwachstellen lassen sich leichter ausnutzen, andere werden von Angreifern häufiger ins Visier genommen. Jede Schwachstelle birgt ein eigenes, eigenständiges und zugleich mit anderen verbundenen Risiko für das Unternehmen. Es kann zu Überschneidungen zwischen diesen beiden Gruppen kommen, und die Auswirkungen eines erfolgreichen Angriffs können sich in ihrer Schwere noch verstärken, je nachdem, wie stark die Anwendung in die übergeordnete SAP-Landschaft eingebunden ist. Sie müssen alle potenziellen Risikovektoren verstehen, und dafür benötigen Sie Zugang zu realen, aussagekräftigen threat intelligence Ihre Maßnahmen zur Behebung von Schwachstellen priorisieren zu können.   

Es gibt einen einfacheren Weg: Verwalten Sie Ihre SAP-Angriffsfläche mit Onapsis

Mit dem richtigen Partner können Sie Ihre Ransomware-Strategie proaktiv gestalten und Schwachstellen, die von Angreifern ausgenutzt werden könnten, wirksamer vermeiden. Hier kommt Onapsis ins Spiel.Onapsis Assesslöst die typischen Herausforderungen, die Unternehmen daran hindern, erfolgreiche Programme zum Schwachstellenmanagement rund um SAP aufzubauen. Assess mehr als nur ein SAP-Plugin – Assess Teil der Platform, der einzigen Cybersicherheits- und Compliance-Lösung imSAP Endorsed Apps-Programm.

• Verschaffen Sie sich den nötigen Überblick:Was Sie nicht sehen, können Sie nicht schützen. Verschaffen Sie sich einen vollständigen Überblick dank automatisierter Asset-Erkennung, die Ihre gesamte ERP-Landschaft erfasst. Außerdem erweitern wir unseren Anwendungsbereich regelmäßig, um weitere Arten von Assets abzudecken. Zuletzt haben wir umfassende Sicherheitsprüfungen fürSAProuter hinzugefügt, einen potenziellen Angriffspunkt für Angreifer.  
   
• Nutzen Sie die zuverlässigsten und aktuellsten Schwachstellenprüfungen, die es gibt:Onapsis Research Labs derproduktivste und renommierteste Lieferant von Schwachstellenforschungfür das SAP Product Security Response Team. Unsere Schwachstellenscans werden regelmäßig mit den neuesten Sicherheitsforschungsergebnissen der Labs aktualisiert, sodass Sie sich nicht selbst über die neuesten Sicherheits-Best-Practices oder Bedrohungsinformationen auf dem Laufenden halten müssen. Identifizieren Sie Sicherheitslücken und Bedrohungen, die über eine einfache Liste fehlender Patches hinausgehen, wie z. B. Fehlkonfigurationen, fehlerhafte Berechtigungen und Probleme in zuvor bereitgestelltem benutzerdefiniertem Code.
   
• Nutzen Sie die Möglichkeiten der Priorisierung durch risikobasierte Analysen und Echtzeit-Bedrohungsinformationen:Unsere kontextreichen Scan-Ergebnisse setzen Schwachstellen in Geschäftsrisiken um, sodass Sie auf einen Blick erkennen, welche Probleme zuerst behoben werden müssen. threat intelligence KI von Onapsis heben diejenigen Schwachstellen hervor (unabhängig vom CVSS-Wert), die aufgrund erhöhter Bedrohungsaktivität oder in der Praxis beobachteter Schwachstellenverkettungen sofortige Aufmerksamkeit erfordern.
   
• Koordinieren Sie die Zusammenarbeit zwischen InfoSec- und IT-Teams, um die Behebung von Problemen zu beschleunigen:Nutzen Sie produktinterne Workflows oder integrieren Sie ServiceNow, um die Behebung zu optimieren und teamübergreifende Transparenz zu gewinnen. Stellen Sie Ihren IT-Partnern schrittweise technische Lösungen zur Verfügung, um die Problemlösung zu vereinfachen.
   
• Beschleunigen Sie Ihre SAP-Sicherheitsstrategie:Der Onapsis Security Advisor basiertauf KI und über 14 Jahren Erfahrung im Bereich SAP und Cybersicherheit und Security Advisor einen umfassenden Überblick über Ihren aktuellen Sicherheitsstatus sowie maßgeschneiderte, umsetzbare Empfehlungen zur Verbesserung. Dank dynamischer visueller Vergleiche Ihrer Situation im Zeitverlauf und im Vergleich zu Branchenkollegen können Sie Ihre Fortschritte mühelos anhand von Daten verfolgen und der Unternehmensleitung effektiv darüber Bericht erstatten.

Sicherheitslücken zu vermeiden ist nur ein Teil der Lösung: Die Notwendigkeit einer kontinuierlichen Überwachung 

Ich hoffe, es ist mittlerweile klar, dass die Minimierung Ihrer SAP-Angriffsfläche nicht nur ein wesentlicher Bestandteil Ihres proaktiven Ansatzes gegen Ransomware ist, sondern auch ein erreichbares Ziel, wenn Sie den richtigen Partner an Ihrer Seite haben. Leider ist es unrealistisch, Schwachstellen vollständig zu vermeiden, und die Behebung von Schwachstellen nimmt Zeit in Anspruch – im Durchschnitt65 Tagebei Schwachstellen mit kritischem Schweregrad. Daher werden Sie in Ihrer Anwendungslandschaft immer mit einem gewissen Maß an ungelösten Risiken konfrontiert sein. 

Hier kommt die kontinuierliche Überwachung ins Spiel. Ich betrachte dies als einen doppelten Ansatz zur Bekämpfung von Schwachstellen: Während Sie punktuelle Scans durchführen und Maßnahmen zur Behebung ergreifen, um Ihre Angriffsfläche zu verringern, überwachen Sie zwischen diesen Zeitpunkten kontinuierlich, ob verdächtiges Verhalten oder potenzielle Exploit-Aktivitäten auftreten, die möglicherweise auf die Schwachstellen abzielen, die Sie noch nicht beheben konnten. 

Das möglichst schnelle Erkennen solcher ungewöhnlichen oder verdächtigen Verhaltensweisen ist entscheidend für einen effizienten und wirksamen Schutz Ihrer SAP-Umgebung. Wie Sie angesichts des bisherigen Themas dieser Reihe vielleicht schon vermuten, ist das leichter gesagt als getan. In unserem nächsten Beitrag werden wir uns näher damit befassen. Wir werden die Herausforderungen bei der kontinuierlichen Überwachung von SAP-Anwendungen untersuchen und erörtern, was erforderlich ist, um diese zu bewältigen.  

Lesen Sie die anderen Teile dieser Reihe

• Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 1: Die Anwendungsebene darf nicht vernachlässigt werden 
• Ein proaktiver Ansatz zur Abwehr von Ransomware – Teil 3: Kontinuierliche Überwachung von SAP-Anwendungen auf Anzeichen für eine Kompromittierung