SANS zählt SAP Cybersecurity zu den Top 20 der CIS Critical Security Controls für effektive Cyber-Abwehr
Nach den jüngsten Cyberangriffen auf SAP-Systeme ordnet SANS die SAP-Cybersicherheit der kritischen Sicherheit zu Controls Liste zum ersten Mal
Boston, MA – 26. Mai 2016 – Onapsis, der globale Experte für geschäftskritische Anwendungssicherheit, kündigte heute ein SANS an white paper das die SAP-Cybersicherheit der CIS Critical Security zuordnet Controls für effektive Cyber-Abwehr zum ersten Mal. Da Cyberangriffe auf SAP weiter zunehmen, wird Unternehmen dringend empfohlen, ihre SAP-Landschaft als Teil der allgemeinen Sicherheitslage ihres Unternehmens zu sichern.
Die Kritische CIS-Sicherheit Controls sind eine Reihe international anerkannter Standards, die die wichtigsten Cyber-Hygienemaßnahmen umreißen, die jede Organisation zum Schutz ihrer Informationstechnologie-Netzwerke (IT-Netzwerke) umsetzen sollte. Sie genießen in der globalen IT-Community hohes Ansehen, da sie von Cyber-Experten entwickelt, verfeinert, validiert und aktualisiert werden, die Daten aus einer Vielzahl öffentlicher und privater Bedrohungsquellen beziehen; und verändern die Sicherheit in Regierungsbehörden und anderen großen Unternehmen, indem sie die Ausgaben auf das Wesentliche konzentrieren controls, die bekannte Angriffe blockieren und diejenigen finden, die durchkommen.
„Direkte Angriffe auf ERP-Systeme wie SAP werden immer häufiger aufgedeckt, was die Annahme bestätigt, dass selbst komplexe Anwendungen, die in sicheren Einrichtungen untergebracht sind, besonderen Schutz benötigen und dass deren Schutz oberste Priorität haben sollte. „Angriffe, die direkt auf komplexe, geschäftskritische Anwendungen abzielen, verursachen außerordentliche Kosten und Auswirkungen auf das Unternehmen“, so Barbara Filkins, leitende SANS-Analystin und Autorin eines Buches white paper das die CIS Critical Security abbildet Controls zu den wichtigsten Punkten im SAP-Sicherheitsrahmenwerk. „Um ein SAP-System zu schützen, schauen Sie sich zunächst rückwirkend die aktuellen Konfigurationen an, um sicherzustellen, dass sie mit den neuesten Patches auf dem neuesten Stand sind und dass sie kontinuierlich unbefugtes Benutzerverhalten und fortgeschrittene Bedrohungen überwachen“, sagte Barbara Filkins, Senior SANS Analyst, SANS Institut.
Das SANS-Papier zur Kartierung der GUS Controls für „Effective Cyber Defense“ zum Cybersecurity-Framework von SAP beschreibt einen schrittweisen Ansatz, den Unternehmen zur Sicherung von SAP-Implementierungen verfolgen können. Dieser Ansatz ist weitgehend anwendungsorientiert, wendet jedoch neben der Schließung von Lücken durch Betriebsabläufe und Schulungen auch Netzwerkbeschränkungen auf zugrunde liegende Netzwerkgeräte und Firewalls an. Der vierstufige Ansatz zur Anwendung der kritischen CIS-Sicherheit Controls ist:
- Schritt 1: Passen Sie Unternehmensprozesse an (GUS Control: 1, 2, 3, 4, 5, 6, 10, 13, 14, 16)
- Schritt 2: Sichern Sie die Landschaft (GUS Control: 3, 7, 9, 10, 11, 12, 18)
- Schritt 3: Konfigurieren Sie das Technische Controls (GUS Control: 2, 3, 4, 5, 6, 8, 13, 14,16)
- Schritt 4: Erstellen Sie das Human Action Framework (GUS Control: 17, 19, 20)
„Die offizielle Anerkennung der SAP-Cybersicherheit als Standard control Für Unternehmen ist dies ein großer Erfolg bei der Sensibilisierung für den Markt für geschäftskritische Anwendungssicherheit. Das ist immer noch ein blindspot Für viele Unternehmen ist dies ein Problem, da sie häufig davon ausgehen, dass ihre SAP-Daten – oder „Kronjuwelen“ – durch herkömmliche Sicherheitsmethoden oder durch das SAP-Verwaltungsteam geschützt sind. Die aktuelle US-CERT-Warnung hat uns jedoch gezeigt, mit welchen realen Methoden Angreifer auf diese Anwendungen zugreifen und welche Schwachstellen sie dazu ausnutzen. Zuordnung der SAP-Cybersicherheit zur CIS Critical Security Controls wird Unternehmen helfen, besser zu verstehen, warum SAP in die allgemeine Sicherheitslage einbezogen werden muss, und bietet Schritte, wie dies am besten zu tun ist“, sagte Juan Pablo Perez-Etchegoyen, CTO von Onapsis.
Um den „Blueprint für CIS Control „Anwendung: Sicherung der SAP-Landschaft“ finden Sie unter: https://onapsis.com/blueprint-cis-control-application-securing-sap-landscape.
Am 2. Juni veranstalten SANS und Onapsis einen Webcast mit dem Titel „A Blueprint to Secure SAP Applications Using CIS“. Controls Als Leitfaden“, um dieses Thema weiter zu diskutieren. Für weitere Informationen oder zur Anmeldung besuchen Sie bitte: https://www.sans.org/webcasts/blueprint-secure-sap-applications-cis-controls-guide-102012.
Onapsis wird am 26. Mai 2016 um 12:30 Uhr EST im Wilson Ballroom beim SANS Security Operations Center Summit in Crystal City, VA, ein Mittagessen veranstalten und etwas lernen. Weitere Informationen finden Sie unter: https://www.sans.org/event-downloads/43422/agenda.pdf.
Über SANS
Das SANS-Institut wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. Mittlerweile erreichen seine Programme mehr als 165,000 Sicherheitsexperten auf der ganzen Welt. Eine Reihe von Personen, von Prüfern und Netzwerkadministratoren bis hin zu Chief Information Security Officers, teilen ihre Erkenntnisse und finden gemeinsam Lösungen für die Herausforderungen, denen sie gegenüberstehen. Das Herzstück von SANS sind die vielen Sicherheitsexperten in verschiedenen globalen Organisationen, von Unternehmen bis hin zu Universitäten, die zusammenarbeiten, um der gesamten Informationssicherheitsgemeinschaft zu helfen.
SANS ist die vertrauenswürdigste und mit Abstand größte Quelle für Informationssicherheitsschulungen und Sicherheitszertifizierungen weltweit. Darüber hinaus entwickelt, pflegt und stellt das Unternehmen kostenlos die größte Sammlung von Forschungsdokumenten zu verschiedenen Aspekten der Informationssicherheit zur Verfügung und betreibt das Frühwarnsystem des Internets – das Internet Storm Center.
Über Onapsis
Onapsis bietet die umfassendsten Lösungen zur Sicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Prüfteams Transparenz, Vertrauen und Sicherheit control von hochentwickelten Bedrohungen, Cyber-Risiken und Compliance-Lücken, die sich auf ihre Unternehmensanwendungen auswirken.
Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.
Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen als auch Compliance controls sowie Funktionen zur Erkennung und Reaktion auf Vorfälle in Echtzeit, um Risiken zu reduzieren, die sich auf kritische Geschäftsprozesse und Daten auswirken. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.
Diese Lösungen basieren auf der Onapsis Research Labs die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs waren die ersten, die einen Vortrag über SAP-Cyberangriffe hielten und bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben haben, die SAP Business Suite, SAP HANA und SAP betreffen Cloud und SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite.
Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security“ erteilt Assess„ment of Business-Critical Systems and Applications“, das bestimmte Algorithmen und Fähigkeiten beschreibt, die hinter der Technologie stehen, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.
Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns auf Twitter, Google+, oder LinkedIn.
Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.