Sie sind hier: Home » Produkte / Services » IT-Security » Content Security

Hackerangriffe auf SAP-Anwendungen unterbinden

SAP-Systeme: Content-basierte Angriffe sind größtes Sicherheitsrisiko
Die "ApplicationSecurity Bridge" analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden

(15.04.14) - "ApplicationSecurity Bridge for SAP Solutions" schützt SAP-Anwendungen, die über eine Web-Schnittstelle erreichbar sein müssen, vor Content-basierten Bedrohungen. Sie unterbindet insbesondere Angriffe, die legitime Benutzer und die Integrität der SAP-Daten gefährden können. Application Security Bridge ist die erste Sicherheitslösung, die diese Risiken eliminiert und speziell für SAP-Systeme entwickelt worden ist. Die Verfügbarkeit der ApplicationSecurity Bridge gab BowBridge Software anlässlich des "Bizec SAP Security Workshops" im Rahmen der Sicherheitskonferenz "Troopers14" bekannt, die vom 18. bis 21. März 2014 stattfand.

ApplicationSecurity Bridge analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden. Zur Erkennung bekannter und neuer Angriffsvarianten kombiniert die Lösung performante Signaturen mit leistungsfähiger Heuristik.

"Sicherheitsbewusste Unternehmen versuchen bereits heute, SAP Anwendungen durch generische Web-Application Firewalls zu schützen." berichtet Jörg Schneider-Simon, CTO (Chief Technology Officer) von BowBridge. "Diese sind aber sehr aufwändig in Konfiguration und Betrieb und nur schwer zu skalieren. Anders als Netzwerk-basierte Lösungen integriert sich ApplicationSecurity Bridge direkt in den SAP Internet Communication Manager auf jedem SAP-Server." Die dadurch entfallende doppelte Dekodierung des Datenstroms allein bringe bereits einen deutlichen Performance-Vorteil, betont Schneider-Simon. "Ein weiterer Vorteil ist, dass mit dieser Architektur eine vollständige End-to-End-Verschlüsselung zwischen dem Browser des Anwenders und der SAP-Anwendung möglich bleibt. Dies erfüllt Compliance-Anforderungen und maximiert Sicherheit und Vertraulichkeit, insbesondere in gehosteten und Cloud-Umgebungen."

Seit 2007 hat SAP über 2700 Sicherheitshinweise veröffentlicht, die sich auf ihre Produkte beziehen. Über die Hälfte dieser Hinweise betrafen inhaltsbasierte Bedrohungen, in denen es Hackern gelingen kann, die Anwendung durch die Einschleusung bösartiger Inhalte zu kompromittieren. Allein in den ersten zehn Wochen von 2014 hat SAP zehn Sicherheits-Hinweise zu Content-basierten Sicherheitslücken veröffentlicht. Diese Art Angriffe erfolgt über die reguläre webbasierte Benutzeroberfläche.

"Die tatsächliche Zahl der ausnutzbaren Angriffspunkte liegt sogar deutlich höher, da SAP-Anwendungen üblicherweise stark modifiziert werden und Code, der von SAP geliefert wird, von Kunden durch eigenen Programmcode ergänzt wird. Diese Modifizierungen enthalten dann oftmals die gleichen inhaltsbasierten Schwachpunkte", weiß BowBridge-CTO Schneider-Simon.

So schützt die ApplicationSecurity Bridge for SAP Solutions:

Content Scanning von Formulardaten
ApplicationSecurity Bridge überwacht den Angriffsvektor Benutzereingaben für beliebige SAP Anwendungen völlig transparent. Sie integriert sich nahtlos in den SAP Internet Communication Manager (ICM) und analysiert angeforderte Anwendungsseiten sowie benutzerseitig eingegebene Daten.
Dies gewährleistet einen bestmöglichen, proaktiven Schutz gegen eine Vielzahl kritischer, Content-basierter Angriffe:

Schutz vor Cross-Site Scripting
Das Anti-XSS Modul von ApplicationSecurity Bridge erkennt und blockt Eingaben, die Teil eines Cross-Site Scripting-Angriffes sein können. Damit schützt es vor unberechtigten Änderungen der Programm-Anzeige, der Übernahme eingerichteter Sitzungen, das Ausspähen von Benutzerkonten und Schadprogramm-Infektionen durch Drive-by-Downloads.

Schutz vor Injections
In ApplicationSecurity Bridge sorgt eine hocheffiziente Kombination aus deterministischen Signaturen und komplexer Heuristik im Anti-SQLi-Modul für die sichere Erkennung von SQL-Injections. Diese erkennt die sowohl die SAP-spezifische OpenSQL- wie die generische SQL-Syntax und verhindert so das Anzeigen und Verändern von Datensätzen in der SAP-Datenbank.
Auch das Einschleusen von Betriebssystem-Kommandos wird verhindert.

Schutz von Directory Traversals
Die zuverlässige Erkennung von absoluten oder relativen Pfadangaben in Applikationsparametern verhindert, dass Directory Traversal-Lücken ausgenutzt werden können. ApplicationSecurity Bridge schützt damit davor, dass Daten und Dateien außerhalb des Anwendungskontexts von Angreifern angezeigt oder modifiziert werden können.

Schutz vor Open Redirects
Umleitungen, bei Web-Anwendungen nahezu unabdingbar, sind ein erhebliches Sicherheitsrisiko. ApplicationSecurity Bridge erkennt und blockt Umleitungen, die nicht zur geschützten Anwendung oder zu ausdrücklich freigegebenen URLs führen.

Maximale Performance

Die Architektur von ApplicationSecurity Bridge ist neben der Sicherheit auf maximale Geschwindigkeit optimiert. Der gesamte Scan-Prozess erfolgt vollständig "in-Memory". Durch die Integration als ICM Plug-in muss ApplicationSecurity Bridge keine Dekodierung des HTTP-Datenstroms mehr vornehmen, was zusätzlich die Performance verbessert.

End-to-End-Verschlüsselung
Insbesondere in gehosteten und Cloud-basierten SAP-Umgebungen ist es wichtig, die Vertraulichkeit der Daten jederzeit zu gewährleisten. Mit ApplicationSecurity Bridge bleiben Verbindungen zu den Nutzern vom Browser bis zur Anwendung verschlüsselt.

Automatische Updates
Die ApplicationSecurity Bridge for SAP Solutions wird automatisch aktualisiert, um den Wartungsaufwand zu minimieren. Das skalierbare, weltweit verfügbare BowBridge Content Distribution Network stellt Updates für die Erkennung neuester Angriffsmuster bereit. Diese werden ohne Ausfallzeiten von ApplicationSecurity Bridge angewandt.
(Bowbridge Software: ra)

BowBridge Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Content Security

Ansatz zum Schutz von Informationswerten
Clearswift, Anbieterin im Bereich Cybersecurity, bringt mit "ARgon for Email" eine anpassungsfähige Lösung zum Schutz von Informationswerten (DLP). ARgon basiert auf der "Adaptive-Redaction" (AR)-Technologie von Clearswift, die es Organisationen ermöglicht, ohne großen Aufwand die adaptive DLP-Funktionalität in ihrer bestehenden E-Mail-Security-Infrastruktur zu implementieren. Dadurch verringert sich das Angriffsrisiko für ein- und ausgehende Informationen.
Policies an Unternehmensansprüche anpassen
In IT-Netzwerken können prinzipiell jede Anwendung und jedes Hardware-Gerät zum potenziellen Angriffsziel von Cyberkriminellen avancieren. Daher empfiehlt sich ein ganzheitlicher Schutz, wie ihn z.B. die All-in-one Data Leakage Prevention (DLP)-Lösung "MyDLP" von IT-Security-Experte Comodo bietet. Die Security-Software verhindert, dass sensible Daten über Netzwerke, Clients, externe Devices und deren Datenträger abgeführt werden können, indem sie die Bewegung der Informationen kontrolliert. Mittels Richtlinien können Security-Verantwortliche festlegen, wer auf die Datensätze zugreifen und sie bearbeiten darf.
Schutz der Unternehmensinfrastruktur
GFI Software meldet die Verfügbarkeit von "GFI WebMonitor 2015", die neueste Version ihrer Web-Filterungs-, -Management- und -Sicherheitslösung. GFI WebMonitor 2015 ermöglicht IT-Administratoren die Überwachung, Verwaltung und Absicherung von Informationen und Daten aus dem Internet zum Schutz der Unternehmensinfrastruktur. Mit GFI WebMonitor 2015 lässt sich der Zugriff auf bestimmte Websites einschränken. So erhalten IT-Admins Kontrollmöglichkeiten, ohne den Zugriff komplett blockieren zu müssen.
Gefahren- und Betrugsbekämpfung
IBM stellte eine neue Analyse-Software vor, die schnell kriminelle Bedrohungen innerhalb enormer Mengen verstreuter Unternehmensdaten aufspüren kann. "IBM i2 Enterprise Insight Analysis" (EIA) ist in der Lage, sekundenschnell wenig offensichtliche Verbindungen zu entdecken, die versteckt zwischen Hunderten Terabytes an Daten und Billionen von Objekten liegen können. Durch die Vereinigung dieser Datenquellen können Organisationen Bedrohungen transparenter machen und sich somit für zunehmend komplexere Angriffe in der Zukunft besser wappnen.
Strategie hin zur Information Governance
Clearswift hat mit dem "Clearswift Critical Information Protection" (CIP)-Management Server and Agent" die neueste Ergänzung ihrer "Clearswift Content Aware Data Loss Prevention" (CA-DLP)-Suite auf den Markt gebracht. Dieser Launch basiert auf der kürzlichen Übernahme der geistigen Eigentumsrechte von Jedda Systems, einem innovativen Entwickler von Endpoint-Sicherheitslösungen zum Schutz vor Datenverlust. Der Schritt verdeutlicht Clearswifts strategische Marktpositionierung mit Data-Loss-Prevention (DLP)-Sicherheitslösungen zum Schutz sensibler Daten.

Strategie hin zur Information Governance Umfassender Schutz sensitiver Informationen

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.