Warum Sie ein Schwachstellenmanagement für geschäftskritische Anwendungen benötigen: Teil 4

Dieser Blogbeitrag ist der vierte Teil einer fünfteiligen Serie über die Bedeutung des Schutzes geschäftskritischer Anwendungen. In unseren ersten drei Blogbeiträgen haben wir dargelegt, wie rasante Projekte zur digitalen Transformation, cloud und die Zunahme der Cyberkriminalität die wichtigsten Systeme von Unternehmen für neue Risiken anfällig gemacht haben. In diesem vierten Teil erörtern wir, warum eine mehrschichtige Verteidigung nicht ausreicht, um die Kronjuwelen Ihres Unternehmens zu schützen. Lesen Sie mehr dazu in unserem whitepaper „Fünf Gründe, warum Sie Schwachstellenmanagement für geschäftskritische Anwendungen benötigen“. 

Grund 4: Bestehende Sicherheitsmaßnahmen nach dem „Defense-in-Depth“-Prinzip schützen geschäftskritische Anwendungen nicht 

Bestehende „Defense in Depth“-Lösungen reichen nicht aus

Traditionell setzen Unternehmen auf ein mehrschichtiges Sicherheitsmodell, bei dem mehrere Ebenen von Sicherheitskontrollen zum Einsatz kommen. Die Hoffnung besteht darin, dass, falls in einer der Ebenen eine Schwachstelle besteht, die Unternehmenssysteme durch die anderen Abwehrmechanismen geschützt sind und die Auswirkungen des Angriffs begrenzt bleiben. Diese Sicherheitsebenen verlängern zudem die Zeit, die ein Angreifer benötigt, um in ein Unternehmen einzudringen, und geben den Informationssicherheitsteams mehr Gelegenheit, den Angriff abzuwehren. Zwar sollte ein Modell der mehrschichtigen Verteidigung unbedingt eingesetzt werden, doch reicht es nicht aus, um die Anwendungsschicht moderner Unternehmen zu schützen. 

Wenn Unternehmen Anwendungen in die cloud auf Dienste von Drittanbietern verlagern, erhöhen sie ihre Anfälligkeit und vergrößern ihre Angriffsfläche. SaaS- und geschäftskritische Anwendungen tauschen sensible Informationen mit anderen Anwendungen aus, was zu vernetzten Risiken führt. In einer vernetzten Umgebung kann ein einziges falsch konfiguriertes System oder eine einzige Sicherheitslücke das gesamte Unternehmen gefährden. 

Viele der heutigen Strategien zur mehrschichtigen Verteidigung scheitern an dieser vernetzten Realität. Ransomware (und Malware), Fehlkonfigurationen oder gestohlene Zugangsdaten können ausgenutzt werden, um jede Sicherheitsschicht vor der Anwendungsschicht zu durchbrechen. Anschließend kann sich ein Angreifer seitlich ausbreiten und dabei mithilfe verschiedener Tools und Techniken immer höhere Berechtigungen erlangen, um in die geschäftskritischen Anwendungen einzudringen. Einem Bericht zufolge geben 70 % der Unternehmen an, dass ihr Anwendungsportfolio im vergangenen Jahr anfälliger geworden ist.¹

Studie von Onapsis zeigt, dass Angreifer die Anwendungsebene ins Visier nehmen

Es ist zwar kein Geheimnis, dass Perimeter- und Endpunkt-Sicherheitsmaßnahmen einen Schwerpunkt bilden und ein unverzichtbarer Bestandteil der Cybersicherheitsstrategie jedes Unternehmens sind, doch hat sich dieser Ansatz als unzureichend erwiesen, um die Anwendungsebene wirksam zu schützen. Wie aus threat intelligence SAP und den Onapsis Research Labs hervorgeht, zielen Angreifer zunehmend direkt auf die Anwendungsebene ab. Diese Cyberkriminellen verfügen über die Motivation, die Mittel und das Fachwissen, um ungeschützte, geschäftskritische SAP-Anwendungen zu identifizieren und auszunutzen – und tun dies auch aktiv.  

Warum ist das wichtig? Geschäftskritische Anwendungen wie ERP, SCM, CRM, SRM, PLM, HCM und BI unterstützen die wesentlichen Funktionen und Prozesse der weltweit größten Unternehmen und Behörden, darunter Lieferkette, Fertigung, Finanzen, Vertrieb und Dienstleistungen sowie Personalwesen. Angreifer, die Zugriff auf ein ungeschütztes SAP-System haben, können personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten stehlen, auf Finanzdaten zugreifen, Ransomware einsetzen und kritische Geschäftsprozesse wie das Lieferkettenmanagement stören. Für Organisationen, die gesetzliche Compliance-Vorgaben erfüllen müssen, kann ein solcher Vorfall zu kostspieligen Audits durch Dritte und Strafen führen, darunter Geldbußen und rechtliche Schritte. Angesichts der Tatsache, dass SAP-Software weltweit von mehr als 400.000 Organisationen genutzt wird und 77 % des weltweiten Transaktionsumsatzes abdeckt, ist der Bedarf an anwendungsspezifischer Sicherheit von entscheidender Bedeutung. 

Die Notwendigkeit eines geschäftskritischen, anwendungsbasierten Schwachstellenmanagements

Während viele Unternehmen bereits Schwachstellenmanagement-Programme für ihre Netzwerk- und Endgeräteumgebungen eingerichtet haben, gilt dies nicht für ihre geschäftskritischen Anwendungen. 60 % der IT- und Sicherheitsexperten nennen den Schutz von Anwendungen als vorrangiges Ziel, setzen dies jedoch noch nicht in die Tat um.²Dafür gibt es viele Gründe.

Herkömmliche Lösungen für das Schwachstellenmanagement unterstützen geschäftskritische Anwendungen schlichtweg nicht. Die interne Verwaltung erfolgt manuell, ist zeitaufwändig und anfällig für menschliche Fehler. Und selbst wenn eine Schwachstelle identifiziert wird, dauert es durchschnittlich 205 Tage, um eine kritische Cybersicherheitslücke zu beheben^.3Ohne ein speziell auf geschäftskritische Anwendungen zugeschnittenes Schwachstellenmanagement-Tool sehen sich Unternehmen mit einem wachsenden Rückstau an Patches konfrontiert und verfügen aufgrund der Häufigkeit von Releases und der Komplexität von Patch-Prozessen oft nicht über die erforderlichen Priorisierungstools zur Verwaltung von Updates. Darüber hinaus fehlt es Unternehmen an Transparenz hinsichtlich der Anwendungsaktivitäten; es gibt keine einfache Möglichkeit zu überprüfen, ob Anwendungen die Best Practices für Benutzerrechte und Konfigurationen einhalten, was zu unberücksichtigten Risiken und offenen Angriffsvektoren führt.

Das Management geschäftskritischer Anwendungsschwachstellen wird durch die Frage der Zuständigkeit für Anwendungen zusätzlich erschwert. Anwendungen werden in der Regel von IT-Teams verwaltet, während Sicherheitsteams nicht über die nötige Transparenz und den Kontext verfügen, um Schwachstellen in diesen Ökosystemen zu erkennen. Diese Dynamik wird durch spezialisierte SAP-Basis- und Oracle-DBA-Teams noch weiter verkompliziert. Darüber hinaus werden Anwendungsumgebungen insgesamt immer komplexer – bedingt durch die Vernetzung der Anwendungen, Anpassungen sowie die Tatsache, dass immer mehr Unternehmen sowohl On-Premise- als auch SaaS-Anwendungen nutzen.

Erfahren Sie mehr darüber, warum Sie eine Lösung für das Schwachstellenmanagement benötigen, um Ihre geschäftskritischen Anwendungen zu schützen.

Es gibt eine bessere Möglichkeit, Ihre geschäftskritischen Anwendungen zu schützen. Onapsis Assess bietet ein umfassendes Schwachstellenmanagement für die geschäftskritischsten Anwendungen von Unternehmen, wie beispielsweise SAP und Oracle. Onapsis Assess tiefere Einblicke, automatisierte Bewertungen, detaillierte Lösungen sowie Beschreibungen der damit verbundenen Risiken und geschäftlichen Auswirkungen. Erfahren Sie mehr darüber, wie Onapsis Assess eine wesentliche Rolle in Ihrem Schwachstellenmanagementprogramm spielen Assess .

Weitere Gründe, warum

• Grund 1:Digitale Transformation
• Grund 2:Der Umstieg auf die Cloud
• Grund 3:Das wachsende Risiko durch böswillige Akteure 
• Grund 5:Selbst die besten Teams stehen vor der Herausforderung, mit weniger mehr zu erreichen

^{1 https://www.whitesourcesoftware.com/wp-content/media/2021/04/whitesource-ponemon-research-report.pdf
2} Sicherheitsrisiken bei Unternehmensanwendungen^reduzieren : Es muss noch mehr getan werden Ponemon Institute Veröffentlichungsdatum: Februar 2021
^{3 https://www.zdnet.com/article/average-time-to-fix-critical-cybersecurity-vulnerabilities-is-205-days-report/}