La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 19-02

Seguridad informática: superfácil o superdifícil

Desde 2012, ha habido un número creciente de ataques divulgados públicamente y con éxito contra los sistemas SAP. Cómo ha cambiado la seguridad de SAP en los últimos diez años, cómo de seguros son los sistemas SAP hoy en día y qué podemos esperar en 2019?
Frederik Weidemann, Fragua Virtual
7. marzo 2019
Contenido:
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

A más tardar desde la vulnerabilidad de la pasarela presentada en la conferencia Blackhat de 2007 (cf. VÍDEO) ha cambiado definitivamente la percepción de la seguridad de SAP. Esta vulnerabilidad permite a un atacante sin autenticación crear un usuario administrador con autorizaciones "SAP_ALL" en sistemas SAP ERP y Abap.

El atacante tiene entonces el control total y puede ver y manipular cualquier dato. A pesar de que esta vulnerabilidad se conoce desde hace tanto tiempo, muchos clientes de ERP siguen siendo vulnerables a ella y a muchas otras vulnerabilidades estándar en 2019. A qué se debe esto?

Los avisos de seguridad de SAP no pueden compararse directamente con las actualizaciones de seguridad de Microsoft Windows porque SAP sigue el principio de la compatibilidad hacia atrás en el mundo Abap. En consecuencia, SAP siempre proporciona un interruptor en los avisos si existe el riesgo de que el parche ponga en peligro la funcionalidad existente o la disponibilidad en el cliente.

Por consiguiente, en estos casos, la importación por sí sola no es suficiente; el cliente debe realizar primero los pasos manuales para activar el sistema. A menudo, son las vulnerabilidades críticas las que requieren este trabajo manual y, por tanto, conducen sin saberlo a sistemas inseguros. Este es también el caso de la vulnerabilidad ejemplar del gateway, frente a la cual un gran número de sistemas de clientes siguen siendo vulnerables.

SAP cambió su estrategia de seguridad en 2009 y desde entonces ha publicado 4256 avisos de seguridad SAP, de los cuales más del 50 por ciento se publicaron entre 2010 y 2012. Según declaraciones realizadas en un TechEd, SAP examinó todo el estándar SAP con análisis estático de código por primera vez en ese momento, lo que se dice que contribuyó a la acumulación anterior.

En 2010 se introdujo el "SAP Security Patchday" el segundo martes de cada mes. Esto significa que los avisos se publican principalmente solo en paquetes. A partir de 2012, se introdujo que los avisos de seguridad solo se entregaran con paquetes de soporte en función de su prioridad.

Debe observarse la regla de los 18 meses: según esta regla, la importación de avisos de seguridad sólo está garantizada en sistemas que se encuentren en un nivel de Support Package que no tenga más de 18 meses. Por lo tanto, cada cliente necesita un ciclo regular de importación de Support Package además de un ciclo de parches de seguridad de SAP.

Mientras que en un entorno de sistema SAP de un solo nivel todavía es posible supervisar manualmente las notas, las configuraciones y los niveles de Support Package, esto resulta cada vez más difícil o imposible en entornos SAP grandes y heterogéneos. En estos casos, tiene sentido supervisar estas tareas con un sistema automatizado. Tanto SAP como el mercado libre ofrecen diversas soluciones al respecto.

Se resolverán estos retos en 2019 con S/4 y Hana? En la nube, SAP realiza el mantenimiento de la infraestructura, pero el cliente ya no tiene aquí acceso a la GUI de SAP y no puede llevar a cabo sus propios desarrollos en el sistema central.

Los clientes se enfrentan a nuevos retos en las arquitecturas híbridas. A menudo, con la creciente complejidad, no está claro dónde, con qué frecuencia, qué datos se almacenan y quién tiene acceso a ellos.

Esto es especialmente cierto si el departamento comercial puede activar servicios adicionales con una tarjeta de crédito, lo que TI no advierte al principio. Los clientes que utilizan S/4 on-premise siguen teniendo que tener en cuenta los problemas mencionados anteriormente.

Incluso en 2019, un S/4 1809 actual debe ser endurecido después de la instalación. Algunos ejemplos son el registro de auditoría de seguridad, que no está activado en el estándar, la protección contra ataques de devolución de llamada RFC, que no está activada, o la longitud mínima de contraseña de solo 6 caracteres, que se lleva suministrando desde 1992.

La conclusión para 2019 es que los clientes son responsables de la seguridad de sus propios datos y seguirán siéndolo. En los últimos años, todos los años ha habido vulnerabilidades críticas en el estándar SAP.

Por tanto, sigue siendo necesario parchear puntualmente los sistemas SAP y supervisar la instalación. Esto se aplica tanto a los componentes utilizados como a los no utilizados.

avatar
Frederik Weidemann, Fragua Virtual

Frederik Weidemann, Evangelista Técnico Jefe de Virtual Forge.


Todos los artículos del autor

Escriba un comentario

Retraso en la transformación en la comunidad SAP

Núcleo limpio

Soluciones sostenibles para necesidades individuales: Tomar la iniciativa del mañana a través de las innovaciones de hoy

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.