Hackerangriffe auf SAP-Anwendungen unterbinden
SAP-Systeme: Content-basierte Angriffe sind größtes Sicherheitsrisiko
Die "ApplicationSecurity Bridge" analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden
(15.04.14) - "ApplicationSecurity Bridge for SAP Solutions" schützt SAP-Anwendungen, die über eine Web-Schnittstelle erreichbar sein müssen, vor Content-basierten Bedrohungen. Sie unterbindet insbesondere Angriffe, die legitime Benutzer und die Integrität der SAP-Daten gefährden können. Application Security Bridge ist die erste Sicherheitslösung, die diese Risiken eliminiert und speziell für SAP-Systeme entwickelt worden ist. Die Verfügbarkeit der ApplicationSecurity Bridge gab BowBridge Software anlässlich des "Bizec SAP Security Workshops" im Rahmen der Sicherheitskonferenz "Troopers14" bekannt, die vom 18. bis 21. März 2014 stattfand.
ApplicationSecurity Bridge analysiert laufend alle Benutzereingaben, bevor sie von der SAP-Anwendung verarbeitet werden. Zur Erkennung bekannter und neuer Angriffsvarianten kombiniert die Lösung performante Signaturen mit leistungsfähiger Heuristik.
"Sicherheitsbewusste Unternehmen versuchen bereits heute, SAP Anwendungen durch generische Web-Application Firewalls zu schützen." berichtet Jörg Schneider-Simon, CTO (Chief Technology Officer) von BowBridge. "Diese sind aber sehr aufwändig in Konfiguration und Betrieb und nur schwer zu skalieren. Anders als Netzwerk-basierte Lösungen integriert sich ApplicationSecurity Bridge direkt in den SAP Internet Communication Manager auf jedem SAP-Server." Die dadurch entfallende doppelte Dekodierung des Datenstroms allein bringe bereits einen deutlichen Performance-Vorteil, betont Schneider-Simon. "Ein weiterer Vorteil ist, dass mit dieser Architektur eine vollständige End-to-End-Verschlüsselung zwischen dem Browser des Anwenders und der SAP-Anwendung möglich bleibt. Dies erfüllt Compliance-Anforderungen und maximiert Sicherheit und Vertraulichkeit, insbesondere in gehosteten und Cloud-Umgebungen."
Seit 2007 hat SAP über 2700 Sicherheitshinweise veröffentlicht, die sich auf ihre Produkte beziehen. Über die Hälfte dieser Hinweise betrafen inhaltsbasierte Bedrohungen, in denen es Hackern gelingen kann, die Anwendung durch die Einschleusung bösartiger Inhalte zu kompromittieren. Allein in den ersten zehn Wochen von 2014 hat SAP zehn Sicherheits-Hinweise zu Content-basierten Sicherheitslücken veröffentlicht. Diese Art Angriffe erfolgt über die reguläre webbasierte Benutzeroberfläche.
"Die tatsächliche Zahl der ausnutzbaren Angriffspunkte liegt sogar deutlich höher, da SAP-Anwendungen üblicherweise stark modifiziert werden und Code, der von SAP geliefert wird, von Kunden durch eigenen Programmcode ergänzt wird. Diese Modifizierungen enthalten dann oftmals die gleichen inhaltsbasierten Schwachpunkte", weiß BowBridge-CTO Schneider-Simon.
So schützt die ApplicationSecurity Bridge for SAP Solutions:
Content Scanning von Formulardaten
ApplicationSecurity Bridge überwacht den Angriffsvektor Benutzereingaben für beliebige SAP Anwendungen völlig transparent. Sie integriert sich nahtlos in den SAP Internet Communication Manager (ICM) und analysiert angeforderte Anwendungsseiten sowie benutzerseitig eingegebene Daten.
Dies gewährleistet einen bestmöglichen, proaktiven Schutz gegen eine Vielzahl kritischer, Content-basierter Angriffe:
Schutz vor Cross-Site Scripting
Das Anti-XSS Modul von ApplicationSecurity Bridge erkennt und blockt Eingaben, die Teil eines Cross-Site Scripting-Angriffes sein können. Damit schützt es vor unberechtigten Änderungen der Programm-Anzeige, der Übernahme eingerichteter Sitzungen, das Ausspähen von Benutzerkonten und Schadprogramm-Infektionen durch Drive-by-Downloads.
Schutz vor Injections
In ApplicationSecurity Bridge sorgt eine hocheffiziente Kombination aus deterministischen Signaturen und komplexer Heuristik im Anti-SQLi-Modul für die sichere Erkennung von SQL-Injections. Diese erkennt die sowohl die SAP-spezifische OpenSQL- wie die generische SQL-Syntax und verhindert so das Anzeigen und Verändern von Datensätzen in der SAP-Datenbank.
Auch das Einschleusen von Betriebssystem-Kommandos wird verhindert.
Schutz von Directory Traversals
Die zuverlässige Erkennung von absoluten oder relativen Pfadangaben in Applikationsparametern verhindert, dass Directory Traversal-Lücken ausgenutzt werden können. ApplicationSecurity Bridge schützt damit davor, dass Daten und Dateien außerhalb des Anwendungskontexts von Angreifern angezeigt oder modifiziert werden können.
Schutz vor Open Redirects
Umleitungen, bei Web-Anwendungen nahezu unabdingbar, sind ein erhebliches Sicherheitsrisiko. ApplicationSecurity Bridge erkennt und blockt Umleitungen, die nicht zur geschützten Anwendung oder zu ausdrücklich freigegebenen URLs führen.
Maximale Performance
Die Architektur von ApplicationSecurity Bridge ist neben der Sicherheit auf maximale Geschwindigkeit optimiert. Der gesamte Scan-Prozess erfolgt vollständig "in-Memory". Durch die Integration als ICM Plug-in muss ApplicationSecurity Bridge keine Dekodierung des HTTP-Datenstroms mehr vornehmen, was zusätzlich die Performance verbessert.
End-to-End-Verschlüsselung
Insbesondere in gehosteten und Cloud-basierten SAP-Umgebungen ist es wichtig, die Vertraulichkeit der Daten jederzeit zu gewährleisten. Mit ApplicationSecurity Bridge bleiben Verbindungen zu den Nutzern vom Browser bis zur Anwendung verschlüsselt.
Automatische Updates
Die ApplicationSecurity Bridge for SAP Solutions wird automatisch aktualisiert, um den Wartungsaufwand zu minimieren. Das skalierbare, weltweit verfügbare BowBridge Content Distribution Network stellt Updates für die Erkennung neuester Angriffsmuster bereit. Diese werden ohne Ausfallzeiten von ApplicationSecurity Bridge angewandt.
(Bowbridge Software: ra)
BowBridge Software: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.