Los vectores de ataque más críticos en sistemas SAP

SAP está presente en más de 250.000 clientes en todo el mundo, incluyendo el 98 por ciento de las 100 marcas más valoradas. A pesar de que alberga la información más valiosa y sensible de una organización, los sistemas SAP no están protegidos de las amenazas informáticas mediante los enfoques tradicionales de seguridad.

Sobre la base de las evaluaciones de cientos de implementaciones de SAP, el estudio de Onapsis Research Labs descubrió que más del 95 por ciento de los sistemas SAP fueron expuestos a vulnerabilidades que podrían conducir a compromiso total de los datos y procesos de negocio de una compañía.

La mayoría de las compañías también están expuestas a las ventanas de parcheo prolongadas con un promedio de 18 meses o más. Sólo en 2014, fueron liberados por SAP 391 parches de seguridad, con un promedio de más de 30 por mes. Casi el 50 por ciento de ellos fueron clasificados como de "alta prioridad" por SAP.

"La gran sorpresa es que la ciberseguridad SAP tiene fisuras en la mayoría de las empresas debido a una brecha de responsabilidad entre el equipo de operaciones de SAP y el equipo de seguridad de TI", dijo Mariano Núñez, director general de Onapsis.



Onapsis Research Labs analizó miles de vulnerabilidades para identificar los tres métodos más comúnmente utilizados de hacking en datos críticos alojados en aplicaciones de SAP, así como la interrupción de los procesos clave del negocio. Los tres principales tipos de ataques informáticos más comunes en sistemas SAP son:

1. Ataques al portal de los clientes y proveedores: se crean usuarios backdoor mediante la gestión de usuarios del SAP J2EE Engine. Al explotar diferentes vulnerabilidades críticas, el atacante puede obtener acceso a SAP Portals y plataformas de integración de procesos y sus sistemas internos conectados.

2. Ataques directos a través de protocolos propietarios de SAP: estos ataques se llevan a cabo mediante la ejecución de comandos en el sistema operativo con los privilegios del administrador de SAP, y mediante la explotación de vulnerabilidades en el SAP RFC Gateway. El atacante es capaz de obtener y modificar potencialmente cualquier información comercial almacenada en la base de datos SAP.

3. Obtención de información del cliente y de la tarjeta de crédito pivotando entre sistemas SAP: el ataque comienza pivotando mediante un sistema con menor seguridad hacia un sistema crítico para ejecutar módulos de funciones remotas en el sistema de destino.

Al menos, a las empresas de petróleo y gas, fabricación, farmacéutica y otras organizaciones Global 2000 que ejecutan sus procesos de negocio críticos en soluciones SAP Business Suite, se les insta a estar al día con lo último de seguridad de las SAP Notes, y garantizar que sus sistemas estén configurados correctamente con el fin de satisfacer el cumplimiento requisitos y la fortificación de la seguridad. Estos deben ser parte de un plan de acción para agregar seguridad SAP a la estrategia y al plan de trabajo de la organización:

- Obtener visibilidad de los activos basados en SAP para determinar el "valor en riesgo"
- Prevenir los problemas de seguridad y cumplimiento a través de la monitorización continua
- Detectar y responder a las nuevas amenazas, ataques o anomalías de comportamiento del usuario como indicadores de compromiso (IOC).

Fuente: Top cyber attack vectors for critical SAP systems

2 comentarios :

  1. A lo mejor es una tontada jeje pero en vez de hacker creo que sería mejor decir atacante, porque podría ser un cracker y no un hacker el que ataca.. y felicidades tu blog es muy bueno.
    Saludos

    ResponderEliminar
    Respuestas
    1. ¿y qué es un cracker si no un hacker malintencionado? Los hackers pueden ser "buenos" o "malos"...
      ¿y si el que está intentando acceder a SAP es un auditor que está haciendo un pentesting autorizado? ;)
      De todas formas, estoy de acuerdo que en este contexto quizás queda bastante mejor, así que lo cambio en un periquete! :-P

      Eliminar