Het Amerikaanse ict-securitybedrijf Onapsis heeft een octrooi laten vastleggen op een nieuwe technologie voor de beveiliging van SAP-systemen tegen webdreigingen. De gepatenteerde algoritmen en softwarefunctionaliteiten maken het mogelijk om SAP-systemen geautomatiseerd te controleren op beveiligingslekken. De oplossing waarvoor het patent is verkregen is bedoeld om bedrijven te beschermen tegen webdreigingen van bedrijfskritische applicaties, processen en gegevens die door traditionele beveiligingsoplossingen niet worden gedetecteerd.
Het octrooi beschrijft een kader voor het evalueren van de beveiliging van applicaties. Deze kunnen bedrijfsbreed aan automatische beveiligingscontroles en compliance-audits worden onderworpen om technische kwetsbaarheden te identificeren. De gerelateerde beveiligingsrisico’s voor bedrijfskritische applicaties worden daarbij grafisch weergegeven.
De ict-beveiliger: ‘Deze technologie maakt het voor het eerst mogelijk om bedrijfskritische applicaties zoals die van SAP voortdurend en geheel automatisch te controleren op potentiële beveiligingslekken. De oplossingen geven chief information security officers (ciso’s) de zekerheid dat ze bedreigingen met tot dusver ongekende precisie kunnen detecteren. Ze kunnen daarnaast een beroep doen op speciale beveiligingsfuncties die niet aanwezig zijn in traditionele oplossingen voor ict-beveiliging. Bedrijfskritische applicaties en gevoelige informatie worden daarmee effectiever beschermd.’
Het gaat om een in de VS verkregen octrooi met de titel ‘Automated Security Assessment of Business-Critical Systems and Applications’, het patentnummer is 9.009.837. De gepatenteerde technologieën zijn ontwikkeld door ceo en medeoprichter van Onapsis, Mariano Nunez, en staan aan de basis van de beveiligings- en compliance-oplossingen Onapsis Security Platform (OSP) en Onapsis X1.
Met zijn gepatenteerde technologieën voegt Onapsis systeemintelligentie aan zijn beveiligingsoplossingen toe. Dat omvat de verkenning en analyse van de complete SAP-omgeving op basis van uiteenlopende technieken, SAP-specifieke scanmodules en -technieken voor het opsporen van kwetsbaarheden en technische controles binnen het hele SAP-ecosysteem, inclusief afhankelijkheden en interfaces tussen SAP-systemen en de beveiliging van doelsystemen.
Zie ook: http://tinyurl.com/pdcc37m
Ter relativering: de claims 1/10 die bij dit patent horen beschrijven een framework voor het aanroepen van SAP functies (RFC), URL’s (HTTP) en DB queries (ODBC) al dan niet via een SAPRouter connectie. Bijna alle functionaliteit die in deze claims beschreven staat, is al jaren aanwezig in (gratis) securitytools als Metasploit. De methode van aanroepen valt niet onder het patent, omdat het publieke welbeschreven API’s zijn.
In tegenstelling tot wat het artikel suggereert, is het dus zeker niet zo dat Onapsis het patent heeft op “een technologie” of op “websecurity SAP”. Het gaat hier in feite dus gewoon om een framework applicatie.