Vulnerability management für geschäftskritische Anwendungen wie SAP und Oracle.
Erhalten Sie einen umfassenden Überblick über die Angriffsfläche Ihrer gesamten Anwendungslandschaft, automatisierte Bewertungen mit detaillierten Lösungsvorschlägen sowie Beschreibungen der damit verbundenen Risiken und geschäftlichen Auswirkungen.
Geschäftskritische Anwendungen sind das Herzstück eines Unternehmens und unterstützen Finanz-, Lieferketten-, Vertriebs- und andere Geschäftsprozesse. Ein Angriff auf diese Anwendungen kann verheerende Auswirkungen auf das gesamte Unternehmen haben. Bislang haben sich Unternehmen zum Schutz dieser kritischen Systeme auf ein Sicherheitsmodell der „mehrschichtigen Verteidigung“ verlassen. Leider reicht dieser mehrschichtige Ansatz aus vielen Gründen nicht mehr aus, unter anderem weil Modernisierungs- und Digitalisierungsinitiativen die Grenzen des Netzwerks aufweichen.
Dennoch sind IT-Sicherheitsexperten weiterhin dafür verantwortlich, die Risiken und die allgemeine Cybersicherheitslage ihres Unternehmens zu bewerten, einschließlich des Schwachstellenmanagements und der Anwendungssicherheit. Oftmals fehlt ihnen der Überblick über die geschäftskritischsten Anwendungen ihres Unternehmens, da die Tools, auf die sie sich traditionell stützen, diese Systeme nicht ausreichend abdecken. In der Regel sind Sicherheitsadministratoren für das Schwachstellenmanagement im Unternehmen zuständig. Ihre Tools decken jedoch geschäftskritische Anwendungen nicht ab, sodass sie sich bei der Behebung von Schwachstellen häufig auf Kollegen in den Anwendungsteams verlassen müssen.
Nicht nur mangelnde Transparenz und fehlende Tools stellen eine Herausforderung dar; auch die Anwendungen selbst sind komplex. Die Häufigkeit von Releases, die Komplexität der Patch-Prozesse und die Größe der Anwendungslandschaften führen dazu, dass Unternehmen mit einem wachsenden Rückstau an Patches konfrontiert sind und es ihnen an Tools zur Priorisierung mangelt.
Onapsis Assess geht diese Herausforderungen für Unternehmensteams Assess an. Es bietet ein zielgerichtetes und umfassendes Schwachstellenmanagement für geschäftskritische Anwendungen, beispielsweise von SAP und Oracle. Es ermöglicht einen detaillierten Einblick in die gesamte Anwendungslandschaft, automatisierte Bewertungen mit detaillierten Lösungsvorschlägen sowie Beschreibungen der damit verbundenen Risiken und geschäftlichen Auswirkungen. Onapsis Assess InfoSec- und IT-Teams und ermöglicht es ihnen, fundierte Entscheidungen darüber zu treffen, wie auf Vorfälle reagiert werden soll, die Untersuchungs- und Behebungszeiten zu verkürzen und mit geringerem Aufwand eine größere Risikominderung zu erzielen.
„Onapsis lüftet das Geheimnis rund um die SAP-Sicherheit, indem es für mehr Transparenz sorgt. Wir können Probleme – Fehlkonfigurationen, fehlende Patches oder ungewöhnliche Benutzeraktivitäten – erkennen, welche Risiken sie bergen und wie sie behoben werden können.“
– Leiter Unternehmenssicherheit, Fortune-500-Versorgungsunternehmen
So Assess Onapsis Assess
Es werden Sensoren eingesetzt – entweder vor Ort oder in der cloud , die eine gründliche Überprüfung der Ressourcen auf System-, Anwendungs- und Codeebene ermöglichen. Assess Scans mit voreingestellten und anpassbaren Richtlinien und Modulen Assess , die die Ressourcen auf eine umfassende und regelmäßig aktualisierte Liste bekannter Probleme überprüfen, darunter fehlende Patches, unsichere oder fehlerhafte Konfigurationen sowie riskante Benutzerberechtigungen. Mit jedem lizenziertenpack Assess Scans zur Einhaltung von IT-Grundkontrollen im Zusammenhang mit verschiedenen Vorschriften und Rahmenwerken wie Sarbanes-Oxley, DSGVO und NIST durchführen. Benutzerdefinierte Richtlinien und Module ermöglichen die Anpassung an Unternehmensrichtlinien und Best Practices. Die Ergebnisse werden in einem einzigen Dashboard angezeigt, um Risiken zu priorisieren und Maßnahmen zur Risikominderung zu identifizieren. Zu jeder identifizierten Schwachstelle gibt es eine Erläuterung der geschäftlichen Auswirkungen, des Schweregrads und der Schritte zur Behebung.
Sicherheit und Compliance
Die höchste Priorität von Onapsis gilt der Sicherheit unserer Software sowie der Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten, die über diese Software übertragen werden. Wir integrieren die strengstmöglichen Sicherheitsmaßnahmen in unseren Softwareentwicklungszyklus (SDLC) sowie in die Betriebssystem-, Datenbank-, Web-Sicherheits- und Protokollierungsebenen unserer Produkte. Onapsis beauftragt akkreditierte externe Prüfungsgesellschaften, die unseren SDLC-Prozess geprüft haben, und wir verfügen über die folgenden Zertifizierungen: ISO 20243:2018, ISO 27001:2022, SOC 1 Typ 2, SOC 2 Typ 2, TISAX Level 3 und das Veracode Verified Program. Unsere Anforderungen an Produktdesign und -entwicklung folgen dem OWASP ASVA v4-Framework oder anderen branchenüblichen Richtlinien.
Bereitstellungsoptionen
Onapsis Assess vor Ort, in Ihrer cloud (alle gängigen cloud werden unterstützt) oder in der cloud als SaaS bereitgestellt werden. Die für die einzelnen Bereitstellungsarten erforderlichen technischen Komponenten sind in Tabelle 2 aufgeführt.
Die Onapsis Platform
Onapsis Assess ein Bestandteil der Platform. Die Platform ein umfassendes Management der Angriffsfläche für ERP-Landschaften und konzentriert sich dabei auf die Sicherheit geschäftskritischer Anwendungen, wobei der Schwerpunkt auf miteinander verknüpften Risiken liegt – Schwachstellenmanagement, Bedrohungsüberwachung, Automatisierung der Compliance-Prüfung und Tests der Anwendungssicherheit.
Onapsis Professional Services
Erreichen Sie Ihre Geschäftsziele in jeder Phase Ihrer Reise. Das umfassende Angebot an professionellen Dienstleistungen von Onapsis umfasst:
Implementierung: Ein paarweiser Bereitstellungsansatz zur Beschleunigung der Amortisationszeit
Schulung: Wissen für Teams zum erfolgreichen Betrieb unserer platform
Optimierung: Ermöglichen Sie kontinuierliche Verbesserung und Anpassung an geschäftliche Anforderungen
Verwaltung: Entlasten Sie sich bei Ressourcenengpässen
Onapsis Research Labs
Das preisgekrönte Onapsis Research Labs besteht aus einem Team von Cybersicherheitsexperten, die ihr fundiertes Wissen und ihre Erfahrung bündeln, um Sicherheitserkenntnisse und Bedrohungsinformationen zu liefern, die geschäftskritische Anwendungen von SAP, Oracle und SaaS-Anbietern betreffen. Sie haben über 1.000 Zero-Day-Schwachstellen entdeckt, und zahlreiche kritische globale CERT-Warnungen basieren auf ihren innovativen Forschungsergebnissen. Onapsis aktualisiert seine Produkte automatisch mit den neuesten threat intelligence anderen Sicherheitsempfehlungen der Onapsis Research Labs. Dies bietet Kunden frühzeitige Benachrichtigungen zu kritischen Problemen, umfassende Abdeckung, verbesserte Konfigurationen und Schutz vor der Veröffentlichung von Patches noch vor den geplanten Updates der Anbieter.
Lizenzierung
Onapsis Assess als Jahresabonnement lizenziert, dessen Preis sich nach der Anzahl der Zielsysteme richtet. Das Abonnement umfasst den Zugriff auf alle für die jeweilige Softwarelizenz verfügbaren Updates, technischen Support sowie einen dedizierten Kundenbetreuer. Onapsis Assess bietet Assess zwei Lizenzstufen an – Assess Assess Baseline. DieBaseline konzentriert sich darauf, Kunden dabei zu helfen, ihren Schwachstellenmanagementprozess schnell und einfach in Gang zu bringen, indem Probleme behoben werden, die mit der offiziell veröffentlichten SAP Security Baseline übereinstimmen und durch die Erkenntnisse der Onapsis Research Labs gestützt werden.
Erweitern und optimieren Sie Ihre Assess mit zusätzlichen Premium-Funktionen:
- Assess Code: Dieses als Jahresabonnement auf Basis der Anzahl der Zielsysteme lizenzierte Angebot bietet Zugriff auf Schwachstellenscans für Probleme in benutzerdefiniertem Code, der zuvor in der Produktion bereitgestellt wurde. InfoSec-Teams erhalten den dringend benötigten Einblick in Sicherheitsprobleme innerhalb des benutzerdefinierten Codes sowie einen umfassenderen Überblick über die Angriffsfläche der SAP-Anwendung.
- Assess Code: Dieses als Jahresabonnement auf Basis der Anzahl der Zielsysteme lizenzierte Angebot bietet Zugriff auf Schwachstellenscans für Probleme in benutzerdefiniertem Code, der zuvor in der Produktion bereitgestellt wurde. InfoSec-Teams erhalten den dringend benötigten Einblick in Sicherheitsprobleme innerhalb des benutzerdefinierten Codes sowie einen umfassenderen Überblick über die Angriffsfläche der SAP-Anwendung.
- Comply Packs: Diese packs werden als Jahresabonnement auf Basis der Anzahl der Zielsysteme lizenziert und packs maßgeschneiderte, reibungslose packs die allgemeinen IT-Kontrollen von ERP-Systemen automatisch anhand verschiedener regulatorischer Anforderungen prüfen und so Tausende von Stunden manueller Arbeit einsparen. Zu den verfügbaren Richtlinien gehören Sarbanes-Oxley (SOX), Datenschutz (DSGVO), NIST/ISO (ISO 27001, NIST 800-53, NIST 800-171), NERC CIP und PCI.
- Threat Intel Center: Diese Abonnementlizenz gewährt Zugriff auf ein zentrales Repository mit aktuellen und laufenden threat research, die direkt aus den Onapsis Research Labs stammen und innerhalb der Platform verfügbar sind. Das Threat Intel Center bietet einen detaillierten und aussagekräftigen Überblick über die sich ständig verändernde Bedrohungslandschaft im ERP-Bereich sowie Zugriff auf eine umfassende Forschungsbibliothek innerhalb der Platform mit nur einem Klick.
Tabelle 1: Assess und Vorteile von Onapsis Assess
| Beschreibung | Vorteile |
| Agentenloses Scannen | Virtuelle Geräte werden vor Ort oder in der cloud bereitgestellt, cloud eine gründliche Überprüfung der Ressourcen auf System-, Anwendungs- und Codeebene cloud ermöglichen und Systemschwachstellen zu analysieren, ohne die Systemleistung zu beeinträchtigen |
| Sofort einsatzbereite Schwachstellensuche | Tausende von Schwachstellenprüfungen sind sofort einsatzbereit und nach Zielsystemen (z. B. SAP, Oracle) in Standardrichtlinien zusammengefasst, sodass Sie Ihre geschäftskritischen Anwendungen umfassend auf Schwachstellen überprüfen können. |
| Erstellung benutzerdefinierter Richtlinien* | Benutzer können benutzerdefinierte Richtlinien erstellen, um genau die Sicherheitsüberprüfungen einzubeziehen, die ihren Anforderungen entsprechen. |
| Standard- und benutzerdefinierte Schwachstellenprüfungen* | Onapsis bietet vordefinierte Schwachstellenprüfungen, sogenannte Module, ermöglicht aber auch die Definition benutzerdefinierter Prüfungen. |
| Zentrales Dashboard | Zeigt Daten und Trends aus den letzten Scans an und bietet grafische Darstellungen, die einen schnellen Überblick über Systemprobleme ermöglichen. |
| Exportierbare Managementberichte | Zusammenfassende Berichte geben Aufschluss über die aktuelle Risikosituation, die Entwicklung im Zeitverlauf und die Maßnahmen zur Risikominderung, sodass die Ergebnisse des Schwachstellenmanagements leichter an die Beteiligten im gesamten Unternehmen weitergegeben werden können. |
| Leitfaden zu Risiken und Abhilfemaßnahmen | Ausführliche Erläuterungen zu den geschäftlichen Auswirkungen der in den einzelnen Systemen festgestellten Probleme, zusammen mit einer entsprechenden Risikobewertung und einer Schritt-für-Schritt-Anleitung zur Behebung, beschleunigen die Problemlösung. |
| Integrierte Workflows und ITSM-Integration | Die integrierte Workflow-Funktion ermöglicht die Zuweisung und Annahme von Problemen entweder manuell oder über eine automatisierte Workflow-Engine. Durch die Integration mit IT-Service-Management-Tools können Tickets automatisch erstellt werden, was eine schnellere Fehlerbehebung ermöglicht. |
| Exportierbare Managementberichte | Zusammenfassende Berichte geben Aufschluss über die aktuelle Risikosituation, die Entwicklung im Zeitverlauf und die Maßnahmen zur Risikominderung, sodass die Ergebnisse des Schwachstellenmanagements leichter an die Beteiligten im gesamten Unternehmen weitergegeben werden können. |
| Benutzerdefinierte Berichte | Erstellen Sie über die Onapsis Platform benutzerdefinierte Berichte, um Informationen zu Trends und Bewertungen der Risikosituation weiterzugeben. |
| Onapsis Security Advisor | Eine Funktion, die sich auf KI sowie auf mehr als 14 Jahre Daten und Erfahrung von Onapsis aus Sicherheitsprojekten stützt, um Sicherheits- und IT-Verantwortlichen bei der Beantwortung der Frage zu helfen: „Wie steht es um unsere SAP-Sicherheit?“ Sie fungiert als persönlicher, vertrauenswürdigersecurity advisor, der Ihnen dabei hilft, bessere Sicherheitsziele zu definieren, Ihren Weg zur ERP-Sicherheit zu gestalten und Ihre Fortschritte im Vergleich zu Referenzwerten sowie anderen Unternehmen und Branchen in verschiedenen Entwicklungsstadien zu verfolgen. |
| Onapsis Research Labs Threat Intelligence | Die Schwachstellenprüfungen werden regelmäßig aktualisiert und ergänzt, basierend auf den neuesten Untersuchungsergebnissen der Onapsis Research Labs. |
| Premium-Zusatzlizenz: Assess Code | Erweitert die Schwachstellensuche auf benutzerdefinierten Code, der in der Produktion eingesetzt wird. Dadurch erhalten Sicherheitsteams einen umfassenderen Überblick über die Angriffsfläche ihrer SAP-Anwendungen. |
| Premium-Zusatzlizenz: Onapsis Comply packs | Erweitert die Assess -Engine packs maßgeschneiderte, reibungslose SAP-Audit packs . |
| Premium-Zusatzlizenz: Threat Intel Center* | Bietet eine regelmäßig aktualisierte und kuratierte Sammlung neuer und laufender threat research, direkt aus den Onapsis Research Labs. Das Threat Intel Center ermöglicht mit einem Klick den Zugriff auf umfassende Forschungsergebnisse, die sowohl zur Schulung von Mitarbeitern im Bereich Cybersicherheit als auch zur Darstellung unternehmensspezifischer geschäftlicher Auswirkungen für Führungskräfte im Bereich Cybersicherheit dienen. |
Tabelle 2: Onapsis Assess Code-Komponenten und Beschreibung
| Technologische Komponente und Beschreibung | Details |
| Unterstützung geschäftskritischer Systeme | Alle SAP-Anwendungen, die ausgeführt werden:SAP NetWeaver – ABAP, SAP NetWeaver – Java, SAP HANA-Datenbank, SAP SuccessFactors, SAP Business Objects (BOBJ), Oracle E-Business Suite (EBS) |
| Konsole für Platform: Die Onapsis Virtual Appliance bietet die Verwaltungs- und Berichtsoberfläche für die Platform control Sensoren. Sie kann vor Ort oder in der cloud bereitgestellt werden. | Systemanforderungen: Festplatte: 200 GB Prozessoren: 8 Kerne (2+ GHz), 16 empfohlen Arbeitsspeicher: 16 GB |
| Sensoren für Platform: Onapsis Virtual Appliances, virtuelle „headless“-Geräte, die Workloads ausführen, um Schwachstellen im System zu erkennen und zu analysieren. Für jede Installation ist mindestens ein Sensor erforderlich. Die Anzahl der benötigten Sensoren hängt von der Größe und Komplexität der Infrastruktur sowie von der Netzwerksegmentierung ab. Der Sensor erhält Updates von der Konsole. Kann vor Ort oder in der cloud bereitgestellt werden. | Systemanforderungen: Festplatte: 200 GB Prozessoren: 8 Kerne (2+ GHz), 16 empfohlen Arbeitsspeicher: 16 GB |
| Virtualisierungstechnologie: Die Konsole und die Sensoren werden als vorgefertigte virtuelle Appliance im OVA-Format (Open Virtualization Appliance) bereitgestellt. Die OVA ist eigenständig und umfasst ein Linux-basiertes Betriebssystem sowie die Onapsis-Lösung. | Unterstützte Virtualisierungsplattformen: VMware, KVM, Microsoft Hyper-V, . Unterstützte cloud : Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform GCP) |
| Onapsis SaaS Connector: Erforderlich für SaaS-Bereitstellungen; ermöglicht Platform Interaktion der Platform mit Ihren Systemen. | Technische Anforderungen: Ubuntu 20.04 CPUs: 1 RAM: 1 GB |
| Browserkompatibilität | Unterstützte Browser: Google Chrome* Microsoft Edge Mozilla Firefox Apple Safari *empfohlen |
*Nicht verfügbar mitBaseline Assess Baseline