SAP Security Patch Day

Posted by Massimo Manara on Nov 17, 2021 8:15:00 AM
Massimo Manara
Find me on:

Cosa è il SAP Security Patch Day? Ogni quando viene effettuato?

Research

Quali sono i principali ricercato che segnalano a SAP problemi di sicurezza?

SAP Security Patch Day cosa è?

È una giornata, ogni mese, dove vengono pubblicate le principali note di sicurezza rilevate nei prodotti SAP, con la loro mitigazione.

 

Il secondo martedì di ogni mese la SAP pubblica a questo sito l'elenco delle note critiche.

 

SAP Security Patch Day perché è importante?

Trovo sia fondamentale che un fornitore, in questo caso di software, ponga attenzione a questi aspetti. Sono numerose, nel caso di SAP, le attenzioni che vengono poste sull'argomento. 

 

Partendo dallo sviluppo del software vedi questo documento, alle certificazioni disponibili di SAP nel Trust Center, raggiungibile a questo collegamento.

 

Fino ad arrivare alle segnalazioni che ogni ricercatore indipendente o società può fare, attraverso la pagina di "Disclosure Guidelines for SAP Security Advisories" ovvero questo sito

 

Nella pagina del sito sono infatti mostrate ogni mese le principali vulnerabilità rilevate e la loro tipologia

 

Security Patch Day – August 2021 - Product Security Response at SAP - Commun

Leggi perché diventa fondamentale applicare le patch security e come farlo.

 

O anche quando è fondamentale effettuare un aggiornamento (Upgrade) del sistema e perché spesso la parte di sicurezza viene sottovalutata.

 

SAP Security Day, cosa fare operativamente?

Sicuramente è utile vedere ogni mese cosa è stato pubblicato, ma non sempre è semplice valutare nota per nota e sistema per sistema cosa fare.

 

Per questo, anche se il processo di patching dei sistemi al momento non è sempre così immediato, è disponibile uno strumento specifico che tutti i clienti SAP hanno (presente nel SAP Solution Manager) a disposizione ovvero il System Recommendations ne abbiamo parlato nei seguenti articoli:

 

 

SYSTEM RECOMMENDATIONS

Ma chi sono i ricercatori che aiutano SAP?

Ho provato ad analizzare le varie segnalazioni arrivate a SAP e disponibili nei link sopra.

 

Prendendo come periodo di riferimento dall'inizio del 2014 ovvero da quando SAP ha iniziato a registrare queste segnalazioni e renderle pubbliche fino a metà 2021.

 

Provando a rispondere alla domanda, ma quali sono le principali società che aiutano SAP? Sono presenti più "tiratori liberi" oppure organizzazioni? In questo ultimo caso per quanto tempo nel corso degli anni?

 

Queste considerazioni possono essere utili nel caso si voglia valutare l'adozione di strumenti presenti sul mercato che svolgono attività di rilevazione di minacce presenti in software SAP non aggiornati o non propriamente configurati. 

 

Partiamo quindi dalla prima domanda: "Quali società e quanto" vs "segnalazioni indipendenti"?

 

Nel grafico sotto è possibile notare come il:

  • 56% delle segnalazioni arrivi da società o professionisti indipendenti
  • 24% dalla sola società Onapsis
  • 11% dalla società ERP Scan
  • 5% dalla società Virtual Forge
  • 4% dalla società ESNC

 

Segnalazioni

Va inoltre segnalato che a metà del 2019 la società Onapsis ha acquisito Virtual Forge.

 

Sommando le numeriche, delle due società, arriviamo quindi ad un terzo delle segnalazioni sul totale, non poco. Per poter effettuare queste attività di ricerca in maniera così sistematica e costante servono risorse specifiche e team dedicati.

 

Ma proviamo a rispondere ad una ulteriore domanda. Indipendentemente dalle segnalazioni fatte, chi ha avuto la maggiore costanza nel tempo?

 

Segnalazioni_annoOsservando il grafico, delle principali società che hanno effettuato segnalazioni, sopra è possibile notare che, nel corso del tempo:

  • Onapsis è stata quella più longeva
  • Negli ultimi anni è di fatto in situazione di monopolio su questa tematica

 

Leggi qui i nostri richiami scatenati dalle ricerce di Onapsis:

 

Guarda qui la nostra intervista sulla tematica dello sviluppo sicuro fatta tra ad Onapsis e Kiuwan.

 

 

 

Ecco, infine, il numero di segnalazioni arrivate per anno

 

Segnalazioni_anno_totale

Attenzione, va ricordato che queste non sono le segnalazioni di sicurezza complessive, ma solamente quelle per le quali ci sono stati ringraziamenti pubblici da parte di SAP, nell'apposita pagina seguente.

 

Iscriviti ora al canale YouTube AGLEA!

 

Topics: patch, sap vulnerability, sap patch, sap security patch day

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti