Cosa è il SAP Security Patch Day? Ogni quando viene effettuato?
Quali sono i principali ricercato che segnalano a SAP problemi di sicurezza?
È una giornata, ogni mese, dove vengono pubblicate le principali note di sicurezza rilevate nei prodotti SAP, con la loro mitigazione.
Il secondo martedì di ogni mese la SAP pubblica a questo sito l'elenco delle note critiche.
Trovo sia fondamentale che un fornitore, in questo caso di software, ponga attenzione a questi aspetti. Sono numerose, nel caso di SAP, le attenzioni che vengono poste sull'argomento.
Partendo dallo sviluppo del software vedi questo documento, alle certificazioni disponibili di SAP nel Trust Center, raggiungibile a questo collegamento.
Fino ad arrivare alle segnalazioni che ogni ricercatore indipendente o società può fare, attraverso la pagina di "Disclosure Guidelines for SAP Security Advisories" ovvero questo sito
Nella pagina del sito sono infatti mostrate ogni mese le principali vulnerabilità rilevate e la loro tipologia
Leggi perché diventa fondamentale applicare le patch security e come farlo.
O anche quando è fondamentale effettuare un aggiornamento (Upgrade) del sistema e perché spesso la parte di sicurezza viene sottovalutata.
Sicuramente è utile vedere ogni mese cosa è stato pubblicato, ma non sempre è semplice valutare nota per nota e sistema per sistema cosa fare.
Per questo, anche se il processo di patching dei sistemi al momento non è sempre così immediato, è disponibile uno strumento specifico che tutti i clienti SAP hanno (presente nel SAP Solution Manager) a disposizione ovvero il System Recommendations ne abbiamo parlato nei seguenti articoli:
Ho provato ad analizzare le varie segnalazioni arrivate a SAP e disponibili nei link sopra.
Prendendo come periodo di riferimento dall'inizio del 2014 ovvero da quando SAP ha iniziato a registrare queste segnalazioni e renderle pubbliche fino a metà 2021.
Provando a rispondere alla domanda, ma quali sono le principali società che aiutano SAP? Sono presenti più "tiratori liberi" oppure organizzazioni? In questo ultimo caso per quanto tempo nel corso degli anni?
Queste considerazioni possono essere utili nel caso si voglia valutare l'adozione di strumenti presenti sul mercato che svolgono attività di rilevazione di minacce presenti in software SAP non aggiornati o non propriamente configurati.
Partiamo quindi dalla prima domanda: "Quali società e quanto" vs "segnalazioni indipendenti"?
Nel grafico sotto è possibile notare come il:
Va inoltre segnalato che a metà del 2019 la società Onapsis ha acquisito Virtual Forge.
Sommando le numeriche, delle due società, arriviamo quindi ad un terzo delle segnalazioni sul totale, non poco. Per poter effettuare queste attività di ricerca in maniera così sistematica e costante servono risorse specifiche e team dedicati.
Ma proviamo a rispondere ad una ulteriore domanda. Indipendentemente dalle segnalazioni fatte, chi ha avuto la maggiore costanza nel tempo?
Leggi qui i nostri richiami scatenati dalle ricerche di Onapsis:
Guarda qui la nostra intervista sulla tematica dello sviluppo sicuro fatta tra ad Onapsis e Kiuwan.
Guarda l'intervista a Protect4S
Ecco, infine, il numero di segnalazioni arrivate per anno
Attenzione, va ricordato che queste non sono le segnalazioni di sicurezza complessive, ma solamente quelle per le quali ci sono stati ringraziamenti pubblici da parte di SAP, nell'apposita pagina seguente.