La plataforma global e independiente para la comunidad SAP.
Gestión informática, MAG 23-11

Exploración de vulnerabilidades en la seguridad de SAP

Para poder evaluar el potencial de riesgo de los entornos SAP e identificar posibles puntos de ataque, existen numerosas medidas que dificultan mantener una visión completa.
Axel Giese, Pathlock Alemania
21 noviembre 2023
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La oferta de servicios abarca desde exploraciones de vulnerabilidades hasta auditorías y pruebas de penetración. Sin embargo, qué enfoque es el adecuado para cada cosa depende de los requisitos de cada resultado.

Al realizar exploraciones de vulnerabilidad, también conocidas como evaluaciones de vulnerabilidad, los sistemas SAP se exploran de forma automática o semiautomática en busca de vulnerabilidades conocidas y los resultados se enumeran en un informe tabular. En el caso más sencillo, puede tratarse de una lista de los parámetros relevantes para la seguridad de un servidor de aplicaciones SAP sin someterlos a una evaluación. Por lo tanto, aquí no se comprueba si las vulnerabilidades pueden ser explotadas, como sería el caso de una prueba de penetración, por ejemplo.

Además, algunas de las vulnerabilidades identificadas pueden ser los llamados "falsos positivos", que aparecen en la lista pero no suponen una amenaza en el contexto actual del sistema o están relacionados con el sistema. Aunque no se comprueben las amenazas activas, los análisis periódicos de vulnerabilidades siguen siendo necesarios para garantizar la seguridad de la información en general y deben repetirse a intervalos regulares. Además de la parametrización incorrecta de los servidores de aplicaciones SAP, un escaneado de vulnerabilidades también detecta problemas como parches que faltan y protocolos, certificados y servicios obsoletos.

Auditoría de seguridad y conformidad

Una auditoría de seguridad y cumplimiento es una revisión exhaustiva y formal de la seguridad de los sistemas de una empresa y de los procesos relevantes para la seguridad. Una auditoría SAP es, por tanto, un examen completo y exhaustivo no sólo de atributos físicos como la seguridad de la plataforma operativa, el servidor de aplicaciones y la arquitectura de red, sino también una inspección y comprobación de los conceptos de seguridad existentes, por ejemplo en temas como las autorizaciones SAP o el tratamiento de usuarios de emergencia.

En cuanto a la metodología, la auditoría implica la realización de un escaneo de vulnerabilidades. Además, los resultados se evalúan en el contexto del entorno del sistema correspondiente y se eliminan los "falsos positivos". El valor informativo de una auditoría de seguridad y conformidad con respecto a la seguridad de los sistemas SAP va mucho más allá, ya que los resultados también se someten a una evaluación, se consideran en el contexto del entorno del sistema de la empresa correspondiente y se resumen en un informe detallado. Se recomienda encarecidamente que las auditorías se lleven a cabo como preparación inicial y tras la finalización de las medidas de endurecimiento y como parte de una migración de sistema o plataforma.

Prueba de penetración

A diferencia de los escaneos de vulnerabilidades y las auditorías, una prueba de penetración, o pentest para abreviar, intenta explotar activamente las vulnerabilidades. El escaneo automatizado de vulnerabilidades se contrapone a un procedimiento que requiere conocimientos profundos y herramientas de distintos ámbitos. Una prueba de penetración requiere una planificación exhaustiva en cuanto al resultado que se desea obtener, el método que se aplicará y las herramientas que se utilizarán. El objetivo central de un pentest es identificar procesos de negocio inseguros, configuraciones de seguridad incorrectas u otras vulnerabilidades que un atacante podría explotar. Por ejemplo, se puede descubrir la transmisión de contraseñas sin cifrar, la reutilización de contraseñas por defecto y el olvido de bases de datos en las que se almacenan credenciales de usuario válidas. Los pentests no necesitan realizarse con tanta frecuencia como las exploraciones de vulnerabilidades, pero es aconsejable repetirlos a intervalos regulares.

Las pruebas de penetración también deben ser realizadas por un proveedor externo y no por empleados internos. Esto garantiza una perspectiva objetiva y evita conflictos de intereses. Las partes externas deben tener una amplia y profunda experiencia en el campo de la tecnología de la información, preferiblemente en el área de negocio de la empresa. La capacidad de aplicar el pensamiento abstracto y anticipar el comportamiento de los actores de la amenaza es importante para la prestación de este servicio, además de centrarse en la exhaustividad y la comprensión de cómo y por qué el entorno de una empresa podría verse comprometido.

Identificar los puntos débiles

En términos de protección holística, los tres métodos dan como resultado la mejor protección posible contra las vulnerabilidades a intervalos diferentes. Cada enfoque de las pruebas, desde los análisis de vulnerabilidades hasta las pruebas de penetración específicas, es crucial para una estrategia de seguridad integral. Sin embargo, la complejidad de las aplicaciones SAP dificulta el cumplimiento sistemático de los procedimientos de seguridad probados, ya que el volumen de registros generados es demasiado grande para analizarlo manualmente. Por lo tanto, tiene sentido confiar en el apoyo de especialistas externos como Pathlock. Además de la consultoría de seguridad, en la que expertos en cumplimiento con la experiencia necesaria identifican vulnerabilidades incluso para pentests, ofrecen una gama de soluciones automatizadas de escaneado y detección de amenazas.

Entrada de socios Pathlock
avatar
Axel Giese, Pathlock Alemania


Todos los artículos del autor

Escriba un comentario

Como dominar los retos de la transformación

Los males del joven CIO

La IA debe considerarse una iniciativa de equipo

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.