新的Onapsis服务评估SAP应用程序以确定危急风险

onpsis.是商业应用程序网络恢复力的领导者,宣布了业界的首个业务风险例证评估业务关键型申请。 Onapsis的业务风险例证为组织的现有风险姿势提供了有价值的见解’S SAP应用程序,自定义代码和系统。

评估措施衡量了误导性和漏洞的严重程度以及他们对业务构成的风险,提供合规性,IT和安全领导者的定量数据,使他们能够更有效地向执行团队和董事会传达业务和网络风险。

作为全球许多财富2000家公司和实体的核心业务信息系统,SAP平台是网络犯罪者和入侵者最有利可图的目标之一。 2019年5月2日,国土安全部在10熊发布了美国证书警报,其第三次通信不到三年,关于对企业资源规划应用和系统的威胁。

onpsis.在10kblaze漏洞发出威胁报告,这可能导致组织的SAP应用程序基础设施和删除所有业务数据,包括改进或提取材料,高度敏感和受管制的信息。

据Gartner称,“作为经济动机的攻击者转身他们的注意力‘up the stack’到应用层,ERP,CRM和人力资源等业务应用是有吸引力的目标。“

业务风险图案计划提供客户组织访问Onapsis的专用研究专家团队。使用软件支持的服务参与方法,在客户提供凭据的情况下,Onapsis团队模仿攻击者的行为,识别组织网络中的目标系统并检测现有漏洞,自定义代码和错误配置中的缺点。

客户的SAP应用程序和系统被评为Onapsis的业务应用风险成熟度模型,其在六阶段规模的范围内分为组织的风险成熟度,从健康到高风险。相应的输出提供了具有定量,可操作的框架的信息技术和安全领导者,以通知SAP网络安全,合规和云迁移计划。

“安全领导者,行政团队和董事会之间存在脱节,这是无法通过对业务有意义的方式量化安全风险,”Onapsis解决方案工程副总裁Shane Macdonald表示。 “我们的企业风险例证评估武器,信息安全和内部审计领导人具有定量数据,这些资料将有助于如何优先考虑安全性,合规性和云投资来更好地保护业务关键申请。”

onpsis.业务风险例证评估并收集有关影响SAP应用程序的风险的信息。 Onapsis评估将确定的最常见漏洞的一些示例包括:

  • US-CERT AA19-122A突出显示的10kblexaze相关漏洞,它涉及SAP Message Server并允许远程攻击者危及整个SAP应用程序
  • 调用Servlet漏洞,如US-Cert Alert Ta16-132a突出显示,可以通过Web浏览器滥用,以危及SAP应用程序
  • SAP网关配置问题,它将允许攻击者执行敏感操作,最终访问存储在SAP系统中的所有信息
  • 组织创建以调整SAP以匹配其业务流程的自定义代码中的漏洞
  • 不同的SAP组件中的其他漏洞和错误配置,可以通过未经授权和未经认证的威胁演员检测和利用。
分享这个