Protect4S - le Patch Day mensuel de SAP perd de sa frayeur

IT-Sicherheitsmaßnahmen sind unerlässlich, um SAP-Systeme zu schützen

Wie oft haben Sie alle CVEs am SAP Patch Day manuell auf die Gültigkeit in Ihrer SAP-Landschaft geprüft? Haben Sie wirklich alle geprüft oder haben Sie nach den kritischsten 5 oder 10 entnervt aufgehört? Und dann alle Hinweise manuell von der SAP herunterladen und implementieren? Und das noch alles protokollieren und das Reporting für Management und Security Officer erstellen? 

Wegen des Mangels an personellen Ressourcen oder des fehlenden Know-how werden SAP-Systeme hinsichtlich der IT-Sicherheit oft vernachlässigt. 

Automatisierungen ermöglichen es, Risiken schneller zu erkennen und zu bewerten, indem potenzielle Bedrohungen automatisch überwacht und analysiert werden. Sie erleichtern auch die Durchführung von Sicherheitsmaßnahmen, indem sie die Umsetzung von Richtlinien und Prozessen von manuell durchgeführten Maßnahmen entkoppeln. Durch die schnellere Erkennung von Risiken und Bedrohungen kann zudem die Reaktionszeit der IT-Sicherheitsteams verkürzt und damit das Risiko eines erfolgreichen Angriffs minimiert werden.

Vulnerability- und Patchmanagement

Die patentierte Scantechnologie scannt die angebundenen Systeme innerhalb weniger Minuten und zeigt aufgrund einer Datenbank aus über 2000 Prüfpunkten identifizierte Sicherheitslücken und sicherheitsrelevante Best-Practice-Empfehlungen auf. Die Datenbank wird monatlich mit den neuesten Erkenntnissen der SAP nach dem SAP Patch Day erweitert. 

Die Benutzerfreundlichkeit durch das bewährte SAP-Browserlayout unterstützt alle am Prozess Beteiligten in ihrer Arbeit und bietet von Beginn an vertraute Sicherheit im Umgang mit der Lösung. Über Rollen und Berechtigungen können User gemäß ihrer Aufgabe auf Protect4S zugreifen und alle Aktivitäten über Protect4S mit den SAP-Standard-Transaktionen bearbeiten und dokumentieren.

Protect4S ist im eigenen Namensraum entwickelt und von der SAP als offizielles SAP-Add-on zertifiziert. Das Add-on wird auf einem SAP Solution Manager oder einem SAP Netweaver System in der Systemlandschaft in einem leeren Mandanten installiert. Ein zusätzliches System/Server wird nicht benötigt.

Das Protect4S Security Management erfolgt über einen dreistufigen Regelkreis.

Prüfen: Protect4S scannt alle angebundenen Systeme innerhalb weniger Minuten und bewertet die Sicherheitslücken mit einem Scoring.

Analysieren: Zu jeder festgestellten Verwundbarkeit erhalten Sie weitere Informationen oder entsprechende Hinweise der SAP.

Beheben: Direkt aus Protect4S können Sie das Patchmanagement anstoßen. Protect4S übernimmt den Download der relevanten Hinweise und startet auf Wunsch die Implementierung. Je nach Hinweis ist gegebenenfalls eine manuelle Unterstützung notwendig.

Threat Detection und Code Scanner

Die zweite Säule der SAP Security mit Protect4S ist die laufende Bedrohungserkennung (Threat Detection). Protect4S analysiert und erkennt in Echtzeit ungewöhnliche oder kritische Aktivitäten in SAP-Systemen. Der Code Scanner als dritte Säule ist in der Entwicklung – die Bereitstellung ist für Ende dieses Jahres angedacht. Die Komponenten der Software können gemeinsam oder unabhängig voneinander implementiert und lizenziert werden.

Die Anbindung und Integration mit SIEM- und ITSM-Lösungen ist bereits realisiert und wird um weitere Anbieter erweitert.

ERP Security B.V, der Hersteller von Protect4S

Die Mitarbeiter von Protect4S sind seit vielen Jahren anerkannte Experten im Bereich der Erkennung von Verwundbarkeiten von SAP-Systemen. Zuletzt konnte Protect4S mit dem Meilenstein von über 100 gemeldeten neuen SAP-Sicherheitslücken auf sich aufmerksam machen und zählt fortan zu den Top 3 der SAP-Sicherheitsforschenden am Markt. Die niederländische Firma greift dabei auf mehr als 20 Jahre Erfahrung der Gründer im Feld der SAP Security zurück.

Conclusion

Mit der rasch zunehmenden Anzahl von Cyber-Bedrohungen und der ständig wachsenden Angriffsfläche, die durch Cloud-Computing, Internet of Things und Mobilgeräte entsteht, müssen Unternehmen ihre Prozesse zur Erhöhung der IT-Sicherheit stärker als je zuvor automatisieren, um ihre Systeme und Daten zu schützen.

Die ersten Scans nach der Einführung von Protect4S zeigen, dass auch vermeintlich gut betreute SAP-Systeme Sicherheitslücken in allen Bereichen aufweisen. Im Mittel liegen diese initialen „Findings“ bei einem CVSS (Common Vulnerability Scoring System) Score von 6,0.

Diese Ergebnisse zeigen, dass die Sicherheit heutiger SAP-Installationen mit manueller Betreuung kaum zu gewährleisten ist. Die von Protect4S entwickelten Lösungen sind ein wirksamer Ansatz, um die Sicherheit von SAP-Systemen zu erhöhen, ohne zusätzliche Mitarbeitende als Ressource zu binden. Unternehmen wird die Möglichkeit gegeben, potenzielle Sicherheitslücken zu identifizieren und zu schließen, bevor sie von Angreifern ausgenutzt werden können.

Automatisierung von IT-Sicherheitsmaßnahmen ist deshalb unerlässlich, um SAP-Systeme vor der stetig wachsenden Bedrohung zu schützen. 

TakeASP ist als Anbieter der Lösungen von Protect4S der richtige Partner für Unternehmen, die ihre SAP-Systeme sicher betreiben möchten. Mit der Automatisierung von Prozessen und regelmäßigen Prüfungen können TakeASP und Protect4S Unternehmen dabei helfen, ihre IT-Sicherheit auf ein höheres Niveau zu bringen und sich besser gegen zukünftige Bedrohungen zu wappnen.