La plataforma global e independiente para la comunidad SAP.
Gestión empresarial, MAG 16-12

Hacking ético en SAP

La digitalización hace que las infraestructuras críticas sean vulnerables. Una forma de comprobar el nivel de seguridad es mediante análisis de seguridad realizados por los llamados "hackers éticos". Con la ayuda de profesionales, las brechas de seguridad se identifican a tiempo, antes de que los hackers "de verdad" causen daños reales.
Christian Bruns, BTC
25 noviembre 2016
Contenido:
Hacker ético en azul
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La indisponibilidad temporal de sitios web de servicios en línea populares como Twitter, Spotify, Reddit o Paypal en octubre, el robo de 500 millones de registros de datos de clientes en Yahoo 2014, los repetidos ciberataques a los sitios web de la Cancillería Federal y el Bundestag... parece que sobran noticias sobre incidentes que apuntan a la vulnerabilidad de nuestro mundo digitalizado.

Por ello, ahora más que nunca, se pide a las empresas, tanto en su propio beneficio como por parte del legislador, que TI-tecnología de comunicación y controlInfraestructuras de su organización.

Hace dos años, un autodiagnóstico realizado por la empresa de Ettlingen demostró lo peligrosa que puede llegar a ser esta situación. Servicios públicos.

En dos días, un contratista consiguió TI-expertos para unirse a la red de Servicios públicos hackear" y tomar el control del centro de control.

El "hacking ético", como también se conoce el método de trabajo del experto de Ettlingen, es un medio probado de obtener una visión general de la eficacia de las propias medidas de seguridad técnicas y organizativas.

En los controles de seguridad de BTC, por ejemplo, los expertos técnicos reconocidos como "Ethical Hacker" están certificados, el potencial de peligro de TI-entornos.

Para ello, el procedimiento y la Tecnología más criminal Hacker detectar vulnerabilidades de seguridad en áreas críticas antes de que sean explotadas por ataques malintencionados.

SAP: La complejidad crea superficies de ataque

La evaluación de los resultados de los controles de seguridad realizados por BTC en las empresas muestra que a menudo son pequeñas deficiencias técnicas y organizativas las que provocan los riesgos de seguridad. Hackers hacer la vida -o más exactamente, el trabajo- más fácil.

Entre las deficiencias más frecuentes figuran, por ejemplo, el hecho de que las funciones y responsabilidades de los procesos y sistemas no estén claramente definidas desde el punto de vista de la seguridad y que no se haya institucionalizado una responsabilidad central.

En los entornos SAP, por ejemplo, los sistemas de producción críticos para la empresa suelen funcionar en una sección de red compartida con aplicaciones de oficina menos críticas.Christian Bruns Tecnología BTC

Un tema de actualidad es Contraseñas. Las pruebas de penetración demuestran que los sistemas SAP relacionados con tareas de desarrollo o control de calidad siguen siendo demasiado fáciles de utilizar. Contraseñas y/o las cuentas sólo pueden utilizarse con datos de acceso preestablecidos (credenciales).

También suponen un riesgo recurrente las autorizaciones y los identificadores de grupo que se han asignado una vez y no se eliminan ni se modifican cuando se cambian los trabajos o las tareas.

Esto puede llevar a la (no tan) divertida consecuencia de que los aprendices o becarios que pasen por diferentes departamentos tengan la mayor Derechos de acceso propia.

La creciente complejidad, especialmente en SAPInfraestructurasaumenta la vulnerabilidad debido a configuraciones descuidadas, por ejemplo al no instalar parches o actualizaciones para Sistemas operativos, WebServidorbases de datos y/o SAPSoftware.

Qué tenacidad incluso conocida Error El Invoker Serlet muestra cómo desarrollar una vulnerabilidad de seguridad en este punto. Una vulnerabilidad de seguridad en el componente de JavaServidor en SAP NetWeaver en mayo de este año impulsó la US-CERT-El Equipo de Preparación para Emergencias Informáticas de Estados Unidos emitió su primera advertencia oficial sobre SAP.Software para pronunciar.

Eso sí, se trata de un problema que se conoce desde hace seis años y que, aunque existe un parche desde hace tiempo, sigue en el Infraestructuras de al menos 36 organizaciones de todo el mundo.

Configuraciones deficientes, estructuras de red insuficientemente protegidas o una gestión de cuentas demasiado simple facilitan la labor de los piratas informáticos.

En Ettlinger Stadtwerke, por ejemplo, fue un puerto de red abierto en la casa de huéspedes lo que el equipo de Ethical Hacker usado.

Combinado con un poco de ingeniería social y el análisis de los patrones de comunicación en la red, bastó para abrir finalmente la puerta de la sala de control.

Para evitar que esto ocurra en primer lugar, se recomienda a todas las empresas que realicen análisis y pruebas manuales y automatizadas a intervalos regulares con el apoyo de Ethical Hackers a realizar.

De este modo, se pueden identificar posibles puntos débiles en la estructura y configuración del entorno SAP en todos los ámbitos de la arquitectura y tomar precauciones con las medidas técnicas u organizativas adecuadas.

https://e3mag.com/partners/btc-business-technology-consulting-ag/

avatar
Christian Bruns, BTC

Christian Bruns es Director de Seguridad de la Información en BTC


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.