La plataforma global e independiente para la comunidad SAP.

Exploración de vulnerabilidades en la seguridad de SAP

Para poder evaluar el potencial de riesgo de los entornos SAP e identificar posibles puntos de ataque, existen numerosas medidas que dificultan mantener una visión completa.
Axel Giese, Pathlock Alemania
21 noviembre 2023
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La oferta de servicios abarca desde exploraciones de vulnerabilidades hasta auditorías y pruebas de penetración. Sin embargo, qué enfoque es el adecuado para cada cosa depende de los requisitos de cada resultado.

Al realizar exploraciones de vulnerabilidad, también conocidas como evaluaciones de vulnerabilidad, los sistemas SAP se exploran de forma automática o semiautomática en busca de vulnerabilidades conocidas y los resultados se enumeran en un informe tabular. En el caso más sencillo, puede tratarse de una lista de los parámetros relevantes para la seguridad de un servidor de aplicaciones SAP sin someterlos a una evaluación. Por lo tanto, aquí no se comprueba si las vulnerabilidades pueden ser explotadas, como sería el caso de una prueba de penetración, por ejemplo.

Además, algunas de las vulnerabilidades identificadas pueden ser los llamados "falsos positivos", que aparecen en la lista pero no suponen una amenaza en el contexto actual del sistema o están relacionados con el sistema. Aunque no se comprueben las amenazas activas, los análisis periódicos de vulnerabilidades siguen siendo necesarios para garantizar la seguridad de la información en general y deben repetirse a intervalos regulares. Además de la parametrización incorrecta de los servidores de aplicaciones SAP, un escaneado de vulnerabilidades también detecta problemas como parches que faltan y protocolos, certificados y servicios obsoletos.

Auditoría de seguridad y conformidad

Una auditoría de seguridad y cumplimiento es una revisión exhaustiva y formal de la seguridad de los sistemas de una empresa y de los procesos relevantes para la seguridad. Una auditoría SAP es, por tanto, un examen completo y exhaustivo no sólo de atributos físicos como la seguridad de la plataforma operativa, el servidor de aplicaciones y la arquitectura de red, sino también una inspección y comprobación de los conceptos de seguridad existentes, por ejemplo en temas como las autorizaciones SAP o el tratamiento de usuarios de emergencia.

En cuanto a la metodología, la auditoría implica la realización de un escaneo de vulnerabilidades. Además, los resultados se evalúan en el contexto del entorno del sistema correspondiente y se eliminan los "falsos positivos". El valor informativo de una auditoría de seguridad y conformidad con respecto a la seguridad de los sistemas SAP va mucho más allá, ya que los resultados también se someten a una evaluación, se consideran en el contexto del entorno del sistema de la empresa correspondiente y se resumen en un informe detallado. Se recomienda encarecidamente que las auditorías se lleven a cabo como preparación inicial y tras la finalización de las medidas de endurecimiento y como parte de una migración de sistema o plataforma.

Prueba de penetración

A diferencia de los escaneos de vulnerabilidades y las auditorías, una prueba de penetración, o pentest para abreviar, intenta explotar activamente las vulnerabilidades. El escaneo automatizado de vulnerabilidades se contrapone a un procedimiento que requiere conocimientos profundos y herramientas de distintos ámbitos. Una prueba de penetración requiere una planificación exhaustiva en cuanto al resultado que se desea obtener, el método que se aplicará y las herramientas que se utilizarán. El objetivo central de un pentest es identificar procesos de negocio inseguros, configuraciones de seguridad incorrectas u otras vulnerabilidades que un atacante podría explotar. Por ejemplo, se puede descubrir la transmisión de contraseñas sin cifrar, la reutilización de contraseñas por defecto y el olvido de bases de datos en las que se almacenan credenciales de usuario válidas. Los pentests no necesitan realizarse con tanta frecuencia como las exploraciones de vulnerabilidades, pero es aconsejable repetirlos a intervalos regulares.

Las pruebas de penetración también deben ser realizadas por un proveedor externo y no por empleados internos. Esto garantiza una perspectiva objetiva y evita conflictos de intereses. Las partes externas deben tener una amplia y profunda experiencia en el campo de la tecnología de la información, preferiblemente en el área de negocio de la empresa. La capacidad de aplicar el pensamiento abstracto y anticipar el comportamiento de los actores de la amenaza es importante para la prestación de este servicio, además de centrarse en la exhaustividad y la comprensión de cómo y por qué el entorno de una empresa podría verse comprometido.

Identificar los puntos débiles

En términos de protección holística, los tres métodos dan como resultado la mejor protección posible contra las vulnerabilidades a intervalos diferentes. Cada enfoque de las pruebas, desde los análisis de vulnerabilidades hasta las pruebas de penetración específicas, es crucial para una estrategia de seguridad integral. Sin embargo, la complejidad de las aplicaciones SAP dificulta el cumplimiento sistemático de los procedimientos de seguridad probados, ya que el volumen de registros generados es demasiado grande para analizarlo manualmente. Por lo tanto, tiene sentido confiar en el apoyo de especialistas externos como Pathlock. Además de la consultoría de seguridad, en la que expertos en cumplimiento con la experiencia necesaria identifican vulnerabilidades incluso para pentests, ofrecen una gama de soluciones automatizadas de escaneado y detección de amenazas.

Entrada de socios Pathlock
avatar
Axel Giese, Pathlock Alemania


Escriba un comentario

El trabajo sobre la base de SAP es decisivo para el éxito de la conversión a S/4. Esto confiere al denominado Competence Centre una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como la automatización, la supervisión, la seguridad, la gestión del ciclo de vida de las aplicaciones y la gestión de datos son la base para el funcionamiento operativo de S/4. Por segunda vez, E3 Magazine organiza una cumbre en Salzburgo para que la comunidad SAP obtenga información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Con una exposición, presentaciones especializadas y mucho de lo que hablar, esperamos de nuevo a numerosos clientes, socios y expertos en Salzburgo. E3 Magazine le invita a Salzburgo para aprender e intercambiar ideas los días 5 y 6 de junio de 2024.

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entradas

Entrada anticipada - Disponible hasta el 29.03.2024
440 EUR sin IVA
Billete normal
590 EUR sin IVA

Consiga ya su entrada anticipada

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.