Lagunas de seguridad en el 95 por ciento de los sistemas SAP
Onapsis, especialista en seguridad SAP, ha identificado los tres métodos más comunes de ciberataques a aplicaciones SAP. Estos vectores de ataque exponen a un alto riesgo los datos de propiedad intelectual, financieros, de tarjetas de crédito, de clientes y proveedores, así como la información almacenada en las bases de datos de las mayores empresas del mundo.
Para su estudio, Onapsis Research Labs analizó cientos de instalaciones SAP. El 95% de estos sistemas SAP presentaban vulnerabilidades que podían permitir a los piratas informáticos obtener pleno acceso a los datos y procesos empresariales de las empresas afectadas.
18 meses hasta que se aplique un parche
Además, los investigadores descubrieron que la mayoría de las empresas tardan 18 meses o más en aplicar los parches para las vulnerabilidades detectadas.
Solo en 2014, SAP publicó 391 parches de seguridad, ¡una media de más de 30 al mes! SAP dio una prioridad alta a casi el 50 % de estos parches.
¿Quién es responsable?
"Muchas empresas no se toman suficientemente en serio el tema de la ciberseguridad de SAP porque no está claro quién es el responsable: el equipo de operaciones de SAP o el equipo de seguridad informática. Esto nos sorprendió mucho".
afirma Mariano Núñez, director general y fundador de Onapsis.
La mayoría de los parches aplicados no son relevantes para la seguridad, llegan tarde o abren nuevas vulnerabilidades para el funcionamiento del sistema SAP. Cada día se conocen nuevas fugas de datos sin que los responsables de seguridad de la información (CISO) se enteren de ellas, porque carecen de visibilidad de sus aplicaciones SAP.
Los tres ataques SAP más comunes
- Amenazas a la información de clientes y tarjetas de crédito que aprovechan el intercambio entre sistemas SAP: Los ataques comienzan en un sistema con una configuración de seguridad baja y se abren camino hasta un sistema crítico para la empresa mediante la ejecución de módulos de funciones controlables de forma remota en el sistema objetivo.
- Ataques a portales de clientes y proveedores: para ello se crean usuarios de puerta trasera en el módulo de gestión de usuarios SAP J2EE. Aprovechando una vulnerabilidad, los piratas informáticos pueden acceder a los portales SAP y a las plataformas de integración de procesos, así como a los sistemas internos asociados.
- Ataques a bases de datos a través de protocolos propios de SAP: Para este ataque, se ejecutan comandos del sistema operativo con los derechos de determinados usuarios y se aprovechan las vulnerabilidades del RFC Gateway de SAP. El pirata informático obtiene acceso a cualquier información almacenada en la base de datos SAP y puede modificarla.
Conclusión
"La base de datos en tiempo real Hana está empeorando aún más la situación. El número de nuevos parches de seguridad que afectan específicamente a esta nueva plataforma ha aumentado un 450%.
Además, Hana es un componente esencial en el centro del ecosistema SAP. Los datos que se almacenan en las plataformas SAP deben protegerse ahora tanto en la nube como en la empresa", explica Núñez.
Plan de acción para Jefes de Seguridad de la Información (CISO)
Las organizaciones que ejecutan procesos críticos para el negocio utilizando soluciones Business Suite deben seguir los últimos consejos de seguridad de SAP. También deben asegurarse de que sus sistemas están correctamente configurados para cumplir los requisitos de conformidad aplicables y aumentar los niveles de seguridad. Estas actividades deben seguir un plan de acción que establezca la ciberseguridad de SAP como parte de la estrategia y la hoja de ruta corporativas:
- Obtenga visibilidad en los componentes basados en SAP para identificar los valores en peligro.
- Tome precauciones contra los problemas de seguridad y cumplimiento mediante una supervisión continua.
- Identificar nuevas amenazas, ataques y comportamientos anómalos de los usuarios como indicadores de compromiso (IOC) y responder a ellos con medidas adecuadas.
DE
EN
ES
