- Anzeigen -


Hackerangriffe auf SAP-Anwendungen unterbinden


SAP-Systeme: Content-basierte Angriffe sind größtes Sicherheitsrisiko
Die "ApplicationSecurity Bridge" analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden

(15.04.14) - "ApplicationSecurity Bridge for SAP Solutions" schützt SAP-Anwendungen, die über eine Web-Schnittstelle erreichbar sein müssen, vor Content-basierten Bedrohungen. Sie unterbindet insbesondere Angriffe, die legitime Benutzer und die Integrität der SAP-Daten gefährden können. Application Security Bridge ist die erste Sicherheitslösung, die diese Risiken eliminiert und speziell für SAP-Systeme entwickelt worden ist. Die Verfügbarkeit der ApplicationSecurity Bridge gab BowBridge Software anlässlich des "Bizec SAP Security Workshops" im Rahmen der Sicherheitskonferenz "Troopers14" bekannt, die vom 18. bis 21. März 2014 stattfand.

ApplicationSecurity Bridge analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden. Zur Erkennung bekannter und neuer Angriffsvarianten kombiniert die Lösung performante Signaturen mit leistungsfähiger Heuristik.

"Sicherheitsbewusste Unternehmen versuchen bereits heute, SAP Anwendungen durch generische Web-Application Firewalls zu schützen." berichtet Jörg Schneider-Simon, CTO (Chief Technology Officer) von BowBridge. "Diese sind aber sehr aufwändig in Konfiguration und Betrieb und nur schwer zu skalieren. Anders als Netzwerk-basierte Lösungen integriert sich ApplicationSecurity Bridge direkt in den SAP Internet Communication Manager auf jedem SAP-Server." Die dadurch entfallende doppelte Dekodierung des Datenstroms allein bringe bereits einen deutlichen Performance-Vorteil, betont Schneider-Simon. "Ein weiterer Vorteil ist, dass mit dieser Architektur eine vollständige End-to-End-Verschlüsselung zwischen dem Browser des Anwenders und der SAP-Anwendung möglich bleibt. Dies erfüllt Compliance-Anforderungen und maximiert Sicherheit und Vertraulichkeit, insbesondere in gehosteten und Cloud-Umgebungen."

Seit 2007 hat SAP über 2700 Sicherheitshinweise veröffentlicht, die sich auf ihre Produkte beziehen. Über die Hälfte dieser Hinweise betrafen inhaltsbasierte Bedrohungen, in denen es Hackern gelingen kann, die Anwendung durch die Einschleusung bösartiger Inhalte zu kompromittieren. Allein in den ersten zehn Wochen von 2014 hat SAP zehn Sicherheits-Hinweise zu Content-basierten Sicherheitslücken veröffentlicht. Diese Art Angriffe erfolgt über die reguläre webbasierte Benutzeroberfläche.

"Die tatsächliche Zahl der ausnutzbaren Angriffspunkte liegt sogar deutlich höher, da SAP-Anwendungen üblicherweise stark modifiziert werden und Code, der von SAP geliefert wird, von Kunden durch eigenen Programmcode ergänzt wird. Diese Modifizierungen enthalten dann oftmals die gleichen inhaltsbasierten Schwachpunkte", weiß BowBridge-CTO Schneider-Simon.

So schützt die ApplicationSecurity Bridge for SAP Solutions:

Content Scanning von Formulardaten
ApplicationSecurity Bridge überwacht den Angriffsvektor Benutzereingaben für beliebige SAP Anwendungen völlig transparent. Sie integriert sich nahtlos in den SAP Internet Communication Manager (ICM) und analysiert angeforderte Anwendungsseiten sowie benutzerseitig eingegebene Daten.
Dies gewährleistet einen bestmöglichen, proaktiven Schutz gegen eine Vielzahl kritischer, Content-basierter Angriffe:

Schutz vor Cross-Site Scripting
Das Anti-XSS Modul von ApplicationSecurity Bridge erkennt und blockt Eingaben, die Teil eines Cross-Site Scripting-Angriffes sein können. Damit schützt es vor unberechtigten Änderungen der Programm-Anzeige, der Übernahme eingerichteter Sitzungen, das Ausspähen von Benutzerkonten und Schadprogramm-Infektionen durch Drive-by-Downloads.

Schutz vor Injections
In ApplicationSecurity Bridge sorgt eine hocheffiziente Kombination aus deterministischen Signaturen und komplexer Heuristik im Anti-SQLi-Modul für die sichere Erkennung von SQL-Injections. Diese erkennt die sowohl die SAP-spezifische OpenSQL- wie die generische SQL-Syntax und verhindert so das Anzeigen und Verändern von Datensätzen in der SAP-Datenbank.
Auch das Einschleusen von Betriebssystem-Kommandos wird verhindert.

Schutz von Directory Traversals
Die zuverlässige Erkennung von absoluten oder relativen Pfadangaben in Applikationsparametern verhindert, dass Directory Traversal-Lücken ausgenutzt werden können. ApplicationSecurity Bridge schützt damit davor, dass Daten und Dateien außerhalb des Anwendungskontexts von Angreifern angezeigt oder modifiziert werden können.

Schutz vor Open Redirects
Umleitungen, bei Web-Anwendungen nahezu unabdingbar, sind ein erhebliches Sicherheitsrisiko. ApplicationSecurity Bridge erkennt und blockt Umleitungen, die nicht zur geschützten Anwendung oder zu ausdrücklich freigegebenen URLs führen.

Maximale Performance

Die Architektur von ApplicationSecurity Bridge ist neben der Sicherheit auf maximale Geschwindigkeit optimiert. Der gesamte Scan-Prozess erfolgt vollständig "in-Memory". Durch die Integration als ICM Plug-in muss ApplicationSecurity Bridge keine Dekodierung des HTTP-Datenstroms mehr vornehmen, was zusätzlich die Performance verbessert.

End-to-End-Verschlüsselung
Insbesondere in gehosteten und Cloud-basierten SAP-Umgebungen ist es wichtig, die Vertraulichkeit der Daten jederzeit zu gewährleisten. Mit ApplicationSecurity Bridge bleiben Verbindungen zu den Nutzern vom Browser bis zur Anwendung verschlüsselt.

Automatische Updates
Die ApplicationSecurity Bridge for SAP Solutions wird automatisch aktualisiert, um den Wartungsaufwand zu minimieren. Das skalierbare, weltweit verfügbare BowBridge Content Distribution Network stellt Updates für die Erkennung neuester Angriffsmuster bereit. Diese werden ohne Ausfallzeiten von ApplicationSecurity Bridge angewandt.
(Bowbridge Software: ra)

BowBridge Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Content Security

  • Ansatz zum Schutz von Informationswerten

    Clearswift, Anbieterin im Bereich Cybersecurity, bringt mit "ARgon for Email" eine anpassungsfähige Lösung zum Schutz von Informationswerten (DLP). ARgon basiert auf der "Adaptive-Redaction" (AR)-Technologie von Clearswift, die es Organisationen ermöglicht, ohne großen Aufwand die adaptive DLP-Funktionalität in ihrer bestehenden E-Mail-Security-Infrastruktur zu implementieren. Dadurch verringert sich das Angriffsrisiko für ein- und ausgehende Informationen.

  • Policies an Unternehmensansprüche anpassen

    In IT-Netzwerken können prinzipiell jede Anwendung und jedes Hardware-Gerät zum potenziellen Angriffsziel von Cyberkriminellen avancieren. Daher empfiehlt sich ein ganzheitlicher Schutz, wie ihn z.B. die All-in-one Data Leakage Prevention (DLP)-Lösung "MyDLP" von IT-Security-Experte Comodo bietet. Die Security-Software verhindert, dass sensible Daten über Netzwerke, Clients, externe Devices und deren Datenträger abgeführt werden können, indem sie die Bewegung der Informationen kontrolliert. Mittels Richtlinien können Security-Verantwortliche festlegen, wer auf die Datensätze zugreifen und sie bearbeiten darf.

  • Schutz der Unternehmensinfrastruktur

    GFI Software meldet die Verfügbarkeit von "GFI WebMonitor 2015", die neueste Version ihrer Web-Filterungs-, -Management- und -Sicherheitslösung. GFI WebMonitor 2015 ermöglicht IT-Administratoren die Überwachung, Verwaltung und Absicherung von Informationen und Daten aus dem Internet zum Schutz der Unternehmensinfrastruktur. Mit GFI WebMonitor 2015 lässt sich der Zugriff auf bestimmte Websites einschränken. So erhalten IT-Admins Kontrollmöglichkeiten, ohne den Zugriff komplett blockieren zu müssen.

  • Gefahren- und Betrugsbekämpfung

    IBM stellte eine neue Analyse-Software vor, die schnell kriminelle Bedrohungen innerhalb enormer Mengen verstreuter Unternehmensdaten aufspüren kann. "IBM i2 Enterprise Insight Analysis" (EIA) ist in der Lage, sekundenschnell wenig offensichtliche Verbindungen zu entdecken, die versteckt zwischen Hunderten Terabytes an Daten und Billionen von Objekten liegen können. Durch die Vereinigung dieser Datenquellen können Organisationen Bedrohungen transparenter machen und sich somit für zunehmend komplexere Angriffe in der Zukunft besser wappnen.

  • Strategie hin zur Information Governance

    Clearswift hat mit dem "Clearswift Critical Information Protection" (CIP)-Management Server and Agent" die neueste Ergänzung ihrer "Clearswift Content Aware Data Loss Prevention" (CA-DLP)-Suite auf den Markt gebracht. Dieser Launch basiert auf der kürzlichen Übernahme der geistigen Eigentumsrechte von Jedda Systems, einem innovativen Entwickler von Endpoint-Sicherheitslösungen zum Schutz vor Datenverlust. Der Schritt verdeutlicht Clearswifts strategische Marktpositionierung mit Data-Loss-Prevention (DLP)-Sicherheitslösungen zum Schutz sensibler Daten.