El camino hacia la ciberresiliencia de SAP

No hay suficiente resistencia

Con demasiada frecuencia, el éxito de los ciberataques contra la infraestructura de TI y las aplicaciones SAP en el pasado reciente ha puesto de manifiesto la falta de capacidad de recuperación. Por ello, las organizaciones de TI revisan cada vez más sus procesos establecidos para comprobar su eficacia y desde un punto de vista económico.

El problema es que el panorama de las amenazas cambia constantemente. Los delincuentes siempre están desarrollando nuevos métodos de explotación o descubriendo vulnerabilidades desconocidas hasta ahora. Esto es posible porque la configuración del propio sistema SAP cambia constantemente. Para establecer la ciberresiliencia de SAP, hay que desarrollar procedimientos que registren cada cambio en la situación de las amenazas y la seguridad, analicen su impacto en la seguridad y permitan actualizaciones inmediatas. 

En el sector SAP, las revisiones ocasionales en el marco de las auditorías de seguridad informática suelen aprovecharse para ajustar el endurecimiento de los sistemas SAP y cuestionar la arquitectura de seguridad básica. Sin embargo, una evaluación puntual difícilmente contribuirá a una solución sostenible del problema. La próxima auditoría, como muy tarde, revelará que han surgido nuevas vulnerabilidades o problemas.

Por tanto, es necesaria una gestión activa de las medidas de seguridad de las aplicaciones SAP.
Para ello, es preciso validar periódicamente el entorno informático y la configuración de los sistemas SAP y evaluar la administración de usuarios y las asignaciones de autorizaciones. Cualquier desviación de la línea de base de seguridad establecida que se detecte en el proceso puede traducirse inmediatamente en una respuesta adecuada. Se ha dado el primer paso hacia la ciberresiliencia de SAP.

La gestión de la seguridad y la conformidad de una plataforma de seguridad SAP permite definir políticas de seguridad para todos los parámetros relevantes del sistema SAP, autorizaciones críticas y listas de control de acceso (ACL). Al mismo tiempo, comprueba si la configuración cumple la norma.

Sin embargo, sigue faltando un elemento esencial: si quiere implantar un programa eficaz de supervisión de la seguridad para detectar ciberataques, necesita hacer un seguimiento de todas las transacciones realizadas en la aplicación SAP. Un ejemplo de la vida real ilustra por qué son tan importantes los controles periódicos y la supervisión en tiempo real: El atacante utiliza una vulnerabilidad no parcheada en el sistema de gestión de transportes de SAP (STMS) para poner una cuenta a la que tiene acceso en modo dios (por ejemplo, SAP_ALL). Una vez importado el transporte malicioso y activadas las credenciales, obtiene acceso y abre la modificabilidad del sistema. Ahora el atacante crea persistencia cambiando algunos parámetros del sistema que se pueden establecer dinámicamente, ¡y esto sin dejar las entradas de registro correspondientes!

Si los sistemas atacados hubieran sido inmunes a los ciberataques de SAP, un ataque de este tipo no podría haberse producido de esta forma. Porque entonces la vulnerabilidad de seguridad en SAP STMS, que fue corregida en octubre de 2021, ya habría sido parcheada. Incluso si el atacante hubiera podido explotar la vulnerabilidad, la plataforma de seguridad habría reconocido la concesión no autorizada de derechos de administración como una anomalía en la supervisión en tiempo real y, si se hubiera activado, la habría eliminado mediante una regla automática. 

Sin embargo, si los delincuentes han conseguido infiltrarse en el sistema e incluso desactivar los protocolos de seguridad pertinentes, las cosas podrían ponerse difíciles. Podrían haber instalado una "puerta trasera" para lograr la persistencia, es decir, crear una forma de volver en otro momento. Sin embargo, incluso si un atacante ha conseguido encontrar y eliminar una vulnerabilidad, el análisis periódico de vulnerabilidades aumenta la probabilidad de que se comprueben los ajustes de seguridad y la base de código personalizada. Así pues, la ciberresiliencia de SAP también protege contra los ataques de puerta trasera.