Schutz für SAP-Systeme
Zero-Days: Die unbekannten Unbekannten
SAP Security Patch Day alleine reicht nicht aus
SecurityBrigde warnt: Beim Thema Sicherheit sollten SAP-Kunden nicht allein auf den SAP Security Patch Tuesday hin leben, sondern permanent wirksame Maßnahmen gegen die Ausnutzung von Zero-Days oder gefährlichen Schwachstellen ergreifen.
Alle vier Wochen erwarten ihn SAP-Kunden mit Spannung: den SAP Security Patch Day, auf dem SAP die neuesten, von SAP selbst, aber auch Kunden, Partnern und Security-Fachleuten (im Rahmen von Bug-Bounty-Programmen), aufgedeckten Schwachstellen mitteilt – und die dazugehörigen Patches, wie die Lücken zu schließen sind, gleich dazu. Ab dann beginnt der Wettlauf zwischen Angreifern und Verteidigern, den letztere nur gewinnen können, wenn sie den Patch schnell genug installieren. Am 8. Februar war es wieder soweit und auch an diesem Tag sollten Kunden besonders brisante Veröffentlichungen erwarten.
So gut und sinnvoll der SAP Security Patch Day ist: Kein Anwenderunternehmen sollte allein darauf vertrauen. Denn es ist davon auszugehen das unter dem Radar so genannte Zero-Days existieren – Schwachstellen, die noch nicht allgemein bekannt sind und für die es keinen Sicherheitsupdate durch den Hersteller gibt. So ist auch der morgige Patch Day wieder eine gute Gelegenheit, an die virulente Gefahr von Zero-Days zu erinnern. Denn diese halten sich nicht an offizielle Termine.
Die täglichen Angriffsflächen kennen
Wie aber das Problem angehen? Die Antwort ist in ihrer Grundaussage recht einfach: Je besser Sie Ihre SAP-Angriffsfläche kennen, desto eher verringern Sie das Risiko der Ausnutzung der unbekannten Unbekannten! Unternehmen müssen davon ausgehen, dass jede Anwendung (und damit auch jedes SAP-System) schwerwiegende Sicherheitslücken enthält, die nicht geschlossen werden können, da kein Patch verfügbar ist. Auf den nächsten SAP Security Patch Day zu warten, kann hier keine Lösung sein, da Kriminelle die offene Lücke bereits kennen und ausnutzen können.
Die Angriffsfläche ist die Summe aller möglichen Eintrittspunkte oder Angriffsvektoren, über die ein unbefugter Angreifer auf ein System oder eine Anwendung zugreifen kann, um z. B. Daten zu extrahieren oder sensible Informationen zu manipulieren. Je kleiner sie ist, desto besser lässt sie sich schützen. Im SAP-Kontext sollten web basierte Zugriffe, für die der Internet Communication Manager (ICM) und der SAP Web Dispatcher zuständig sind, sowie das Internet Communication Framework (ICF) (über die SAP-Transaktion SICF) besonders beobachtet und abgesichert werden. Der Verbindungsaufbau über die RFC Schnittstelle (Remote Function Calls) ist ebenfalls anfällig und kann Datenlecks nach außen verursachen.
Grundsätzlich gilt es alle exponierten Dienste (HTTP, HTTPS, SOAP, WebService, APIs) kontinuierlich zu bewerten und inventarisieren. Jeder Systemdienst, der nicht genutzt wird oder nicht einem bestimmten SAP-Geschäftsszenario dient, sollte deaktiviert werden, um die Angriffsfläche zu verringern. SAP-Dienste, die keine Authentifizierung erfordern, sollten ganz besonders im Auge behalten werden. In SAP liegen sie im Namensraum /public/ (zu finden in der Transaktion SICF). Dienste wie /public/system_info sind die erste Anlaufstelle für Angreifer, um in der Erkundungsphase eines Angriffs Informationen über das SAP-System zu sammeln.
Regelmäßiges und rechtzeitiges Patchen im Nachgang an den Patch-Day ist daher nur eine – wenn auch eine immens wichtige – Säule, um SAP-Systeme zu sichern . Für Zero-Days aber gibt es schlichtweg keine Patches. Daher muss man sich rechtzeitig schützen – durch bestmögliche Kenntnis der typischen Angriffsflächen.
Über SecurityBridge:
SecurityBridge ist Anbieter einer SAP-Sicherheitsplattform und entwickelt Tools zur Erweiterung des SAP-Ökosystems. Das in Ingolstadt ansässige Unternehmen verfolgt einen radikal anderen Ansatz als herkömmliche Sicherheitstools, da es davon ausgeht, dass SAP-Anwendungen und benutzerdefinierter Code in jedem Fall infiltriert werden, egal wie sorgfältig SAP-Sicherheitsstrategie umgesetzt wird. Deshalb hat SecurityBridge die weltweit einzige nativ integrierte SAP Security Lösung für kontinuierliches Monitoring entwickelt. Dank der Anomalieerkennung ist die SecurityBridge-Plattform in der Lage, zwischen echten Bedrohungen und Fehlalarmen zu unterscheiden, so dass sich die Sicherheitsteams besser auf die tatsächlichen Probleme konzentrieren können.
