Por qué necesitamos una NextGen de seguridad SAP

Lo que cuenta es la combinación

Quien quiera reconocer hoy suficientemente los ataques a los sistemas SAP y rechazarlos en una fase temprana -es decir, aumentar su resistencia- debe considerar al mismo tiempo la seguridad de las aplicaciones y de la red. Sólo así podrá crearse la próxima generación de seguridad SAP. SAP ya no es un bloque monolítico. Los dispositivos finales centrados en el usuario y los dispositivos IoT interactúan con aplicaciones SAP y de terceros, que a veces se ejecutan en la nube y otras en las instalaciones. 

SAP se refiere a estos entornos ERP híbridos entrelazados cuando habla de la "empresa inteligente". Cada vez es más compleja y eso no facilita las cosas a los responsables de la seguridad. Como consecuencia, el panorama informático se vuelve opaco y aumenta el riesgo de que se pase por alto una brecha de seguridad (incluso de que exista desde hace mucho tiempo). En la misma medida, también aumenta el riesgo de que un ataque tenga éxito. El número de posibles puntos de entrada es ahora mucho mayor.

Para ello, los responsables de seguridad necesitan una arquitectura de seguridad abierta y escalable que siga el ritmo de la creciente superficie de ataque y proporcione un alto nivel de protección contra ataques internos y externos. La seguridad de los entornos de TI híbridos debe basarse en una estructura multicapa que se construya como las capas de una cebolla. Los componentes individuales de la misma trabajan juntos de forma inteligente, absorben y compensan los ataques y evalúan toda la información necesaria para valorar un incidente. Sería ideal que todas estas funciones estuvieran disponibles en una sola plataforma. Hasta ahora, las líneas de defensa han existido de forma aislada y no estaban interconectadas. Hoy en día, no se puede llegar muy lejos con este enfoque tradicional de la seguridad. En la próxima generación, los componentes inteligentes se integran e intercambian información para evaluar los incidentes. Un cortafuegos inteligente detecta y bloquea los ataques a SAP examinando los paquetes de datos e interceptando las cargas útiles peligrosas en el tráfico TCP/IP.

El parcheado virtual de las vulnerabilidades de seguridad SAP puede tener lugar a nivel de infraestructura; en este caso, el intento de ataque de una vulnerabilidad SAP ya publicada es detectado por un cortafuegos NextGen y redirigido o bloqueado incluso antes de que el atacante llegue al valioso sistema SAP. Este procedimiento se recomienda especialmente cuando los avisos de seguridad SAP (SNotes) altamente críticos no pueden aplicarse a tiempo porque los sistemas son demasiado complejos para una rápida aplicación de parches o el esfuerzo de comprobación sería demasiado elevado a corto plazo.

En cualquier caso, las empresas deben asumir siempre que todas las aplicaciones (y, por tanto, también todos los sistemas SAP) contienen graves vulnerabilidades de seguridad que no pueden cerrarse porque no hay ningún parche disponible: los infames días cero. Cuanto más amplia sea la comprensión de lo que se considera una superficie de ataque SAP (no sólo el ERP), menor será el riesgo de explotar los días cero, y mayor la capacidad de recuperación. Una característica fundamental de NextGen SAP Security es, por tanto, el creciente papel de la seguridad de la red dentro de una protección holística de SAP. Todos los componentes para proteger los sistemas SAP funcionan juntos de forma inteligente y automática. Los ciberataques a los sistemas SAP pueden detectarse a un nivel superior y defenderse contra ellos en caso necesario. Si esto no es posible, al menos se informa a las siguientes capas de seguridad sobre un incidente, de modo que la siguiente línea de defensa esté prevenida y pueda actuar con eficacia. La ciberseguridad es un deporte de equipo, no sólo del lado de los atacantes, sino especialmente dentro de las líneas de defensa.

Los conceptos clásicos de autorización ya no ofrecen suficiente protección en los entornos híbridos, por lo que sólo pueden considerarse parte de la seguridad de SAP. Hay más que eso: endurecimiento y supervisión de las ranuras de configuración, actualizaciones de seguridad periódicas, comprobación de los desarrollos de los clientes en busca de código problemático, comprobación del sistema de transporte y supervisión de la seguridad sin fisuras.