Ergon stopft kritische Lücke in der Java-Bibliothek Common Collections

In nur sieben Stunden hat die Ergon Informatik AG den Exploit in der in der Java-Bibliothek Common Collections mit einem Virtual Patch für alle Kunden verhindert. Über die vorgelagerte Sicherheitslösung Airlock WAF konnte Ergon nach kürzester Zeit alle Webapplikationen absichern. Das verdeutlicht einmal mehr die Vorteile des Virtual Patching.

Noch hat Oracle einen weitreichenden Fix für die Lücken in den Common Collections nur angekündigt. Die hohe Verbreitung der Java-Bibliothek erfordert aber eine schnelle Problembehebung, da sonst Angreifer Zugriff auf sicherheitskritische Systeme und Webapplikationen erhalten könnten. Hier wären auch Daten von Endverbrauchern betroffen, die beispielsweise Dienste wie Online-Banking nutzen.

Ein virtueller Patch muss nicht auf jedem System einzeln installiert werden, sondern sichert den Host in dem jeweiligen Netzwerk ab. Individuelle Einstellungen und Konfigurationen werden nicht beeinflusst, vernetzte Systeme müssen also nicht zeitaufwändig angepasst werden. Ebenso gewährt Virtual Patching den Administratoren mehr Zeit, um von Herstellern bereitgestellte Fixes ausführlich zu testen und anschließend auf allen betroffenen Systemen einzuspielen.

Virtuelle Patches sollten jedoch nicht als eine dauerhafte Lösung betrachtet werden. Betreiber von Webapplikationen sind ihren Kunden und den Endverbrauchern in der Pflicht, ihre Systeme aktuell und ohne Sicherheitslücken zu betreiben. Insbesondere, wenn entsprechende Fixes von den Herstellern bereitstehen.

Ergon hat mit der Airlock WAF einen zentralen Sicherheitshub geschaffen, der durch Sicherheitslösungen wie Malware-Scanner oder Hardware-Sicherheitsmodule ergänzt werden kann. Die Routine für das Einspielen von virtuellen Patches wurde, basierend auf dem Feedback der Kunden, besonders einfach gestaltet und bedarf keiner langwierigen Konfiguration. Dadurch kann auf neue Sicherheitslücken schnell reagiert und Webapplikationen zeitnah geschützt werden.

Zusätzlich ermöglicht die zentrale und vorgelagerte Authentisierung durch Airlock Login oder IAM einen hohen Schutz von Webapplikationen, die für Nutzer öffentlich zugänglich sind. Airlock übernimmt dann die Verwaltung der Identitäten und Zugriffe auf sensible Daten und Informationen, ohne einen direkten, anonymen Zugriff auf die Daten der Webapplikation zu gewähren.

Die Airlock Suite im Detail

Airlock WAF: Mit der Airlock Web Application Firewall können sicherheitskritische Webapplikationen und Dienste gegen Cyberangriffe gesichert werden. In der Schweiz, dem Heimatland von Ergon, stellt die Airlock WAF einen Quasi-Standard im Bankenumfeld dar. Sämtliche Zugriffe werden auf allen Ebenen systematisch kontrolliert und gefiltert. So behalten Administratoren über eine integrierte Monitoring- und Reporting-Funktion die laufenden Applikationszugriffe im Auge. Zusätzlich fungiert Airlock WAF als zentraler Sicherheitshub und lässt sich durch Sicherheitslösungen wie Malware-Scanner oder Hardware-Sicherheitsmodule ergänzen.

Airlock IAM: Gefördert durch die Digitalisierung und eine verstärkte Auslagerung von Anwendungen, Daten und Dienstleistungen in das World Wide Web, ergeben sich für Unternehmen und Dienstleister sowohl neue Möglichkeiten als auch neue Herausforderung beim Management von Zugriffsrechten. Ergon hat dafür die zentrale und vorgelagerte Authentifizierungsplattform Airlock IAM entwickelt. Die Lösung unterstützt diverse Authentifizierungsverfahren und automatisiert die Benutzeradministration. Nutzer, Kunden, Lieferanten, Partner und Mitarbeiter erhalten mit einer einmaligen Anmeldung einen sicheren Zugang zu Daten und Anwendungen.

Airlock Login: Die auf Kosten-Nutzen-Effizienz ausgelegte Lösung Airlock Login kann besonders einfach konfiguriert und implementiert werden. Die Lösung stellt sicher, dass auch bestehende Webapplikationen mit eigenen Benutzerstämmen einfach in die vereinheitlichte Web Single Sign-on-Infrastruktur integriert werden können. Falls Zusatzfunktionalitäten wie Webservice-Schnittstellen oder User-Self-Services benötigt werden, ist ein Upgrade zu Airlock IAM möglich.

Weitere Informationen

Detaillierte Informationen zu den BaFin-Leitlinien sowie einen Überblick, wie Finanzinstitute mit der Airlock Suite den Anforderungen an technische Maßnahmen gerecht werden, erfahren Sie im folgenden Whitepaper.

%d Bloggern gefällt das: