Seguridad informática: superfácil o superdifícil

A más tardar desde la vulnerabilidad de la pasarela presentada en la conferencia Blackhat de 2007 (cf. VÍDEO) ha cambiado definitivamente la percepción de la seguridad de SAP. Esta vulnerabilidad permite a un atacante sin autenticación crear un usuario administrador con autorizaciones "SAP_ALL" en sistemas SAP ERP y Abap.

El atacante tiene entonces el control total y puede ver y manipular cualquier dato. A pesar de que esta vulnerabilidad se conoce desde hace tanto tiempo, muchos clientes de ERP siguen siendo vulnerables a ella y a muchas otras vulnerabilidades estándar en 2019. A qué se debe esto?

Los avisos de seguridad de SAP no pueden compararse directamente con las actualizaciones de seguridad de Microsoft Windows porque SAP sigue el principio de la compatibilidad hacia atrás en el mundo Abap. En consecuencia, SAP siempre proporciona un interruptor en los avisos si existe el riesgo de que el parche ponga en peligro la funcionalidad existente o la disponibilidad en el cliente.

Por consiguiente, en estos casos, la importación por sí sola no es suficiente; el cliente debe realizar primero los pasos manuales para activar el sistema. A menudo, son las vulnerabilidades críticas las que requieren este trabajo manual y, por tanto, conducen sin saberlo a sistemas inseguros. Este es también el caso de la vulnerabilidad ejemplar del gateway, frente a la cual un gran número de sistemas de clientes siguen siendo vulnerables.

SAP cambió su estrategia de seguridad en 2009 y desde entonces ha publicado 4256 avisos de seguridad SAP, de los cuales más del 50 por ciento se publicaron entre 2010 y 2012. Según declaraciones realizadas en un TechEd, SAP examinó todo el estándar SAP con análisis estático de código por primera vez en ese momento, lo que se dice que contribuyó a la acumulación anterior.

En 2010 se introdujo el "SAP Security Patchday" el segundo martes de cada mes. Esto significa que los avisos se publican principalmente solo en paquetes. A partir de 2012, se introdujo que los avisos de seguridad solo se entregaran con paquetes de soporte en función de su prioridad.

Debe observarse la regla de los 18 meses: según esta regla, la importación de avisos de seguridad sólo está garantizada en sistemas que se encuentren en un nivel de Support Package que no tenga más de 18 meses. Por lo tanto, cada cliente necesita un ciclo regular de importación de Support Package además de un ciclo de parches de seguridad de SAP.

Mientras que en un entorno de sistema SAP de un solo nivel todavía es posible supervisar manualmente las notas, las configuraciones y los niveles de Support Package, esto resulta cada vez más difícil o imposible en entornos SAP grandes y heterogéneos. En estos casos, tiene sentido supervisar estas tareas con un sistema automatizado. Tanto SAP como el mercado libre ofrecen diversas soluciones al respecto.

Se resolverán estos retos en 2019 con S/4 y Hana? En la nube, SAP realiza el mantenimiento de la infraestructura, pero el cliente ya no tiene aquí acceso a la GUI de SAP y no puede llevar a cabo sus propios desarrollos en el sistema central.

Los clientes se enfrentan a nuevos retos en las arquitecturas híbridas. A menudo, con la creciente complejidad, no está claro dónde, con qué frecuencia, qué datos se almacenan y quién tiene acceso a ellos.

Esto es especialmente cierto si el departamento comercial puede activar servicios adicionales con una tarjeta de crédito, lo que TI no advierte al principio. Los clientes que utilizan S/4 on-premise siguen teniendo que tener en cuenta los problemas mencionados anteriormente.

Incluso en 2019, un S/4 1809 actual debe ser endurecido después de la instalación. Algunos ejemplos son el registro de auditoría de seguridad, que no está activado en el estándar, la protección contra ataques de devolución de llamada RFC, que no está activada, o la longitud mínima de contraseña de solo 6 caracteres, que se lleva suministrando desde 1992.

La conclusión para 2019 es que los clientes son responsables de la seguridad de sus propios datos y seguirán siéndolo. En los últimos años, todos los años ha habido vulnerabilidades críticas en el estándar SAP.

Por tanto, sigue siendo necesario parchear puntualmente los sistemas SAP y supervisar la instalación. Esto se aplica tanto a los componentes utilizados como a los no utilizados.