Schutz vor Malware- und Cross-Site-Scripting Angriffen

Trend LogoSCHUTZ VOR MALWARE UND CROSS-SITE-SCRIPTING (XSS)
Aufgrund der wachsenden Nutzung von SAP HANA in produktiven Umgebungen wird die Auseinandersetzung mit den richtigen Sicherheitsstrategien für diese technische Innovation immer wichtiger. Im Vordergrund stehen hier vor allem zwei Faktoren, die es zu beachten gilt:

a) Performance: Malware- und XSS-Schutz darf die Performance von SAP HANA nicht beeinträchtigen.

b) Host-basierter Schutz: Angriffe können nicht nur außerhalb, sondern auch hinter der Firewall starten. Im Rahmen moderner Serverschutz-Strategien wird daher immer empfohlen, zusätzlich zum Perimeterschutz auch Host-basierte Schutzmechanismen zu aktivieren.

WIE FUNKTIONIERT EIN CROSS-SITE-SCRIPTING-ANGRIFF IM ALLGEMEINEN?
Cross-Site-Scripting-Angriffe (kurz: XSS-Angriffe) nutzen Applikationen als Angriffsvektor. Angreifer integrieren aktive Inhalte (z.B. Javascript) in Dokumente (Bilder, PDFs, Offi ce Makros) und laden diese über die Web-Applikationen des Angriffsziels hoch. Im angegriffenen Unternehmen werden diese Dateien im Browser oder von anderen Applikationen innerhalb einer Trusted Domain ausgeführt. Durch einen einfachen Virenscan lassen sich diese Angriffe meist weder erkennen noch blockieren, denn die integrierten aktiven Inhalte werden in der Regel nicht als Malware oder Virus identifiziert.

WELCHEN SCHADEN KANN EIN CROSS-SITE-SCRIPTING-ANGRIFF ANRICHTEN?
Angreifern kann es mittels XSS-Angriffen gelingen, die Benutzerzugänge des Angriffsziels zu übernehmen. Abhängig von den jeweiligen Privilegien des angegriffenen Benutzers führt dies unter Umständen zum Verlust von Geschäftsinformationen oder sogar zur Gefährdung von Administratorrechten und Backend-Systemzugängen. Für die angegriffenen Unternehmen bedeutet dies meist erheblichen materiellen Schaden und darüber hinaus rechtliche Folgen und/oder Vertrauensverluste.

WIE IST EINE CROSS-SITE-SCRIPTING-ATTACKE IM SAP HANA KONTEXT ZU BETRACHTEN?
Auch SAP HANA kann für Cross-Site-Scripting-Angriffe missbraucht werden, denn oftmals ist es möglich, Dokumente und Dateien von intern und/oder extern in die Applikationen zu laden. Ein Virenscanner am Perimeter oder Proxy ist dabei nicht in der Lage, die aktiven Inhalte zu entdecken und zu blockieren. Das SAP Content Repository wird zwar den Dateityp neben einer Binary-Datei speichern, die Identifikation basiert aber ausschließlich auf der Dateiendung. Eine inhaltliche Prüfung wird nicht vorgenommen.

WIE KANN SAP HANA GESCHÜTZT WERDEN?
Um Prozesse und Performanz der SAP HANA Plattform nicht zu beeinträchtigen, hat SAP die eigene Sicherheitsschnittstelle XS API $.security.Antivirus entwickelt. Diese Schnittstelle ist seit dem Release SAP HANA SPS 09 verfügbar und ermöglicht den Schutz von SAP HANA vor Viren und XSS-Angriffen. Applikationsentwickler können XS API $.security.Antivirus nutzen, um hochgeladene Dateien vor der Speicherung in der Datenbank auf Malware zu scannen und aktive Inhalte zu blockieren. SAP empfiehlt, ausschließlich SAP-zertifizierte Produkte für den Schutz einzusetzen.

Für mehr Informationen steht Ihnen unser Software Security Team (Judith Schatzer, Sanel Redzo und Erich Wiesinger) unter sst@arrowecs.at für Ihre Fragen zur Verfügung.

Leave a Reply

Kalender
February 2021
M T W T F S S
« Dec    
1234567
891011121314
15161718192021
22232425262728