La plataforma global e independiente para la comunidad SAP.
Gestión empresarial, MAG 16-12

Hacking ético en SAP

La digitalización hace que las infraestructuras críticas sean vulnerables. Una forma de comprobar el nivel de seguridad es mediante análisis de seguridad realizados por los llamados "hackers éticos". Con la ayuda de profesionales, las brechas de seguridad se identifican a tiempo, antes de que los hackers "de verdad" causen daños reales.
Christian Bruns, BTC
25 noviembre 2016
Contenido:
Hacker ético en azul
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La indisponibilidad temporal de sitios web de servicios en línea populares como Twitter, Spotify, Reddit o Paypal en octubre, el robo de 500 millones de registros de datos de clientes en Yahoo 2014, los repetidos ciberataques a los sitios web de la Cancillería Federal y el Bundestag... parece que sobran noticias sobre incidentes que apuntan a la vulnerabilidad de nuestro mundo digitalizado.

Por ello, ahora más que nunca, se pide a las empresas, tanto en su propio beneficio como por parte del legislador, que TI-tecnología de comunicación y controlInfraestructuras de su organización.

Hace dos años, un autodiagnóstico realizado por la empresa de Ettlingen demostró lo peligrosa que puede llegar a ser esta situación. Servicios públicos.

En dos días, un contratista consiguió TI-expertos para unirse a la red de Servicios públicos hackear" y tomar el control del centro de control.

El "hacking ético", como también se conoce el método de trabajo del experto de Ettlingen, es un medio probado de obtener una visión general de la eficacia de las propias medidas de seguridad técnicas y organizativas.

En los controles de seguridad de BTC, por ejemplo, los expertos técnicos reconocidos como "Ethical Hacker" están certificados, el potencial de peligro de TI-entornos.

Para ello, el procedimiento y la Tecnología más criminal Hacker detectar vulnerabilidades de seguridad en áreas críticas antes de que sean explotadas por ataques malintencionados.

SAP: La complejidad crea superficies de ataque

La evaluación de los resultados de los controles de seguridad realizados por BTC en las empresas muestra que a menudo son pequeñas deficiencias técnicas y organizativas las que provocan los riesgos de seguridad. Hackers hacer la vida -o más exactamente, el trabajo- más fácil.

Entre las deficiencias más frecuentes figuran, por ejemplo, el hecho de que las funciones y responsabilidades de los procesos y sistemas no estén claramente definidas desde el punto de vista de la seguridad y que no se haya institucionalizado una responsabilidad central.

En los entornos SAP, por ejemplo, los sistemas de producción críticos para la empresa suelen funcionar en una sección de red compartida con aplicaciones de oficina menos críticas.Christian Bruns Tecnología BTC

Un tema de actualidad es Contraseñas. Las pruebas de penetración demuestran que los sistemas SAP relacionados con tareas de desarrollo o control de calidad siguen siendo demasiado fáciles de utilizar. Contraseñas y/o las cuentas sólo pueden utilizarse con datos de acceso preestablecidos (credenciales).

También suponen un riesgo recurrente las autorizaciones y los identificadores de grupo que se han asignado una vez y no se eliminan ni se modifican cuando se cambian los trabajos o las tareas.

Esto puede llevar a la (no tan) divertida consecuencia de que los aprendices o becarios que pasen por diferentes departamentos tengan la mayor Derechos de acceso propia.

La creciente complejidad, especialmente en SAPInfraestructurasaumenta la vulnerabilidad debido a configuraciones descuidadas, por ejemplo al no instalar parches o actualizaciones para Sistemas operativos, WebServidorbases de datos y/o SAPSoftware.

Qué tenacidad incluso conocida Error El Invoker Serlet muestra cómo desarrollar una vulnerabilidad de seguridad en este punto. Una vulnerabilidad de seguridad en el componente de JavaServidor en SAP NetWeaver en mayo de este año impulsó la US-CERT-El Equipo de Preparación para Emergencias Informáticas de Estados Unidos emitió su primera advertencia oficial sobre SAP.Software para pronunciar.

Eso sí, se trata de un problema que se conoce desde hace seis años y que, aunque existe un parche desde hace tiempo, sigue en el Infraestructuras de al menos 36 organizaciones de todo el mundo.

Configuraciones deficientes, estructuras de red insuficientemente protegidas o una gestión de cuentas demasiado simple facilitan la labor de los piratas informáticos.

En Ettlinger Stadtwerke, por ejemplo, fue un puerto de red abierto en la casa de huéspedes lo que el equipo de Ethical Hacker usado.

Combinado con un poco de ingeniería social y el análisis de los patrones de comunicación en la red, bastó para abrir finalmente la puerta de la sala de control.

Para evitar que esto ocurra en primer lugar, se recomienda a todas las empresas que realicen análisis y pruebas manuales y automatizadas a intervalos regulares con el apoyo de Ethical Hackers a realizar.

De este modo, se pueden identificar posibles puntos débiles en la estructura y configuración del entorno SAP en todos los ámbitos de la arquitectura y tomar precauciones con las medidas técnicas u organizativas adecuadas.

https://e3mag.com/partners/btc-business-technology-consulting-ag/

avatar
Christian Bruns, BTC

Christian Bruns es Director de Seguridad de la Información en BTC


Todos los artículos del autor

Escriba un comentario

¿Poco impacto? La IA afecta más a los demás

Adiós a Excel - hola a SAP Analytics Cloud: planificación financiera integrada más fácil

Estudio sobre la integración de la IA en las empresas del DAX 40

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.