SAPotage - Objetivo: Producción
Cuando se trata de la seguridad informática en la producción, muchos directivos piensan primero en la protección de los sistemas de control y se adormecen pensando que sus sistemas SCADA no están conectados a Internet.
Como muy tarde, cuando estos sistemas se conectan a una intranet, se acaba la supuesta seguridad. Pero la producción no consiste solo en controlar una cadena de montaje.
Todo proceso de fabricación se basa en la iniciación de procesos empresariales por parte de personas autorizadas. Para ello, los datos de producción se toman cada vez más en los sistemas de control y se transmiten a los sistemas SAP.
Idealmente, un cuadro de mandos con datos en tiempo real proporciona a todos los responsables de la toma de decisiones la información que necesitan para gestionar procesos empresariales como la adquisición de materiales y la planificación de la producción en cualquier lugar.
Por ejemplo, los responsables de los departamentos dirigen la logística de producción encargando nuevo material, gestionando la subcontratación de la producción a proveedores y la facturación. El control de calidad también es parte integrante de un proceso de fabricación controlado por SAP.
Escenarios de riesgo
Esta interrelación directa de los procesos de producción y de negocio abre un amplio campo para que los atacantes ataquen los módulos y aplicaciones ERP o SCM.
En primer lugar, los usuarios malintencionados pueden obtener información esencial sobre los conocimientos y procesos de producción de una empresa. Las soluciones basadas en SAP para la planificación de la producción, así como los módulos ERP y SCM, se convierten así en un objetivo interesante para el espionaje industrial.
En segundo lugar, los usuarios malintencionados y los propietarios no autorizados de una cuenta de usuario SAP tienen amplias posibilidades de realizar actividades fraudulentas.
Una vez que se ha obtenido acceso a una instancia SAP a través de la capa de transacciones, es decir, a nivel de SAP NetWeaver o Hana, se pueden eludir los conceptos clásicos de seguridad de SAP a nivel de aplicación, como la segregación de funciones, con procedimientos sencillos.
En consecuencia, las aplicaciones tampoco están protegidas. Por ejemplo, una DdS establece normalmente que un usuario de un departamento de producción puede hacer un pedido de material, pero la facturación sólo puede hacerla el departamento de control.
Un usuario que crea su propia cuenta con derechos de usuario ampliados, secuestra una cuenta privilegiada de SAP All para sus propios fines o crea una cuenta nueva se despoja de estas restricciones de SoD.
Hace un pedido falso, emite una factura ficticia a un testaferro y se encarga de que el dinero se transfiera a su cuenta. Las pequeñas sumas de dinero que fluyen con regularidad pueden pasar desapercibidas, sobre todo porque la propia producción de la empresa no se ve afectada.
A menudo, muchos CISO ni siquiera pueden obtener una visión general de estos riesgos de seguridad cotidianos debido a la falta de recursos.
En tercer lugar, el sabotaje de los entornos SAP pone en peligro la producción. Los proveedores malintencionados detendrán los pedidos de material necesarios, tal vez manipulen los datos de producción para el cálculo de costes de material, por ejemplo. A nivel de transacciones SAP, pueden paralizar todo el sistema SAP apagándolo.
Sin planificación de la producción, ésta ya no es posible. En la práctica, esto puede ocurrir con menos frecuencia. Un sistema SAP en funcionamiento como plataforma para actividades fraudulentas suele ser más lucrativo.
Procedimientos
La creciente conexión a Internet de los procesos empresariales relevantes para la producción a través de soluciones basadas en SAP y la integración de socios externos agravan la situación de riesgo.
La transmisión móvil de datos o también la conexión de proveedores a través de la nube y los sistemas de control, por ejemplo, aumentan la superficie de ataque. Las aplicaciones móviles como parte de la plataforma móvil de SAP pueden convertirse en puertas de acceso a instancias de SAP ERP a través de accesos no autorizados.
Los piratas informáticos buscan específicamente formas cada vez más novedosas de obtener acceso. El clásico spear phishing a los responsables de producción para registrar la introducción de contraseñas mediante keyloggers amenaza también, como es natural, al usuario de SAP y no es más que el principio.
Los atacantes externos malintencionados buscan las instancias SAP que buscan a través de motores de búsqueda como Shodan. Los empleados internos, por supuesto, lo tienen aún más fácil para acceder a los sistemas SAP.
Aprovechando una vulnerabilidad de manipulación del verbo HTTP, los hackers pueden crear usuarios de puerta trasera en el módulo de gestión de usuarios SAP J2EE. Esto les da acceso a los portales SAP y a las plataformas de integración de procesos, así como a los sistemas internos conectados a ellos.
Los ataques a las bases de datos se producen a través de vulnerabilidades en los protocolos propietarios de SAP: con derechos de usuario secuestrados o usurpados, las vulnerabilidades en la pasarela RFC de SAP se explotan a nivel de transacción SAP.
El pirata informático obtiene acceso a cualquier información almacenada en la base de datos SAP y puede leerla. Los atacantes externos suelen desviarse a través de entornos no productivos y, por tanto, a menudo insuficientemente protegidos:
Por ejemplo, después de configurar el sistema productivo correspondiente, a menudo se olvidan los entornos de prueba, y con ellos las cuentas técnicas que les corresponden, que a menudo sólo están equipadas con contraseñas por defecto.
Un hacker puede utilizar esto simplemente como trampolín para atacar sistemas productivos. Con estos métodos de ataque, observados con frecuencia, se puede modificar y manipular numerosa información relevante para la producción.
Por ejemplo, las tablas SAP LFA1 (Datos maestros de proveedor), KNA1 (Datos maestros de cliente), EKKO y EKPO o también AUFK para pedidos y KALC para calcular la cantidad de materiales de producción.
Nivel de protección Capa de transacción
La protección de los procesos de producción soportados por SAP comienza con los fundamentos de cualquier entorno SAP: en la capa de transacciones. La segregación de funciones, las medidas GRC y las aplicaciones especiales de seguridad a nivel de aplicación, así como la amplia asistencia que proporciona el fabricante de software SAP, son herramientas importantes para crear más seguridad.
Pero no pueden funcionar por sí solas. No eliminan los peligros a nivel de Hana o NetWeaver debidos a la aparición de brechas de seguridad, parches de software que no se han aplicado, comunicación incontrolada a través de interfaces para la transferencia de datos incorrectos o acceso desprotegido a los servicios de administración.
La protección integral de la capa de transacciones puede eliminar eficazmente muchos de estos riesgos y constituye la base de la seguridad de los módulos y aplicaciones ERP o SCM.
Una evaluación automatizada de todas las instancias de SAP, incluidos los entornos de prueba y desarrollo, realiza un inventario de las vulnerabilidades de seguridad existentes e identifica los riesgos potenciales.
Estas notificaciones también tienen en cuenta el contexto de la información sobre la infraestructura proporcionada por la evaluación automatizada. También registran los cambios del sistema que pueden hacer vulnerable a una organización. Esto permite determinar la probabilidad de éxito de un ataque.
Los análisis correspondientes describen detalladamente la probabilidad y el impacto de las amenazas. Los administradores pueden utilizar instrucciones detalladas para cerrar las brechas según su prioridad.
Seguimiento y comportamiento de los usuarios
Las soluciones avanzadas también supervisan continuamente la situación de las amenazas y buscan patrones de ataque para explotar nuevas vulnerabilidades.
Informan de los nuevos ataques reales a las vulnerabilidades existentes y analizan los métodos de ataque correspondientes en tiempo real. Los mecanismos de defensa se activan automáticamente y pueden ser llevados a cabo por los responsables.
De este modo, los departamentos informáticos evitan la explotación de vulnerabilidades de seguridad, incluso si aún no se ha publicado e implantado un parche adecuado. Esta ganancia de velocidad es crucial.
Porque en los entornos SAP, debido a la complejidad de los sistemas, transcurren hasta 18 meses de media desde el día en que se produce un ataque hasta la aplicación efectiva de un parche pertinente.
También es importante para la defensa contra el uso indebido, el fraude y el espionaje reconocer el comportamiento inusual de los usuarios, que puede ser un indicio de actividades maliciosas por parte de los empleados.
Los responsables de la seguridad tienen la posibilidad de reaccionar lo antes posible ante las amenazas y pueden cobrar inmediatamente los derechos de uso utilizados para modificar los derechos de los usuarios o acceder a los datos de producción.
Una estrategia de seguridad SAP eficaz tiene varios niveles y se basa en varias herramientas, como cortafuegos y soluciones SIEM.
También es importante que estas soluciones no actúen como aplicaciones aisladas, sino que puedan intercambiar datos relevantes a través de interfaces de programación definidas (API).
Crear cimientos seguros
Sólo quienes protegen la capa de transacciones pueden proteger eficazmente sus aplicaciones de producción y módulos ERP en SAP. Porque una vez que un hacker consigue acceder a cualquier punto de partida en el entorno del sistema SAP, todos los componentes de SAP relevantes para la producción están abiertos para él. La seguridad de ERP y SCM también necesita una base sólida.
DE
EN
ES
FR
