{"id":134854,"date":"2023-11-21T08:00:00","date_gmt":"2023-11-21T07:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=134854"},"modified":"2023-11-20T09:52:42","modified_gmt":"2023-11-20T08:52:42","slug":"analisis-de-vulnerabilidades-de-seguridad-de-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/sap-security-vulnerability-scan\/","title":{"rendered":"Exploraci\u00f3n de vulnerabilidades en la seguridad de SAP"},"content":{"rendered":"<p>La oferta de servicios abarca desde exploraciones de vulnerabilidades hasta auditor\u00edas y pruebas de penetraci\u00f3n. Sin embargo, qu\u00e9 enfoque es el adecuado para cada cosa depende de los requisitos de cada resultado.<\/p>\n\n\n\n<p>Al realizar exploraciones de vulnerabilidad, tambi\u00e9n conocidas como evaluaciones de vulnerabilidad, los sistemas SAP se exploran de forma autom\u00e1tica o semiautom\u00e1tica en busca de vulnerabilidades conocidas y los resultados se enumeran en un informe tabular. En el caso m\u00e1s sencillo, puede tratarse de una lista de los par\u00e1metros relevantes para la seguridad de un servidor de aplicaciones SAP sin someterlos a una evaluaci\u00f3n. Por lo tanto, aqu\u00ed no se comprueba si las vulnerabilidades pueden ser explotadas, como ser\u00eda el caso de una prueba de penetraci\u00f3n, por ejemplo.<\/p>\n\n\n\n<p>Adem\u00e1s, algunas de las vulnerabilidades identificadas pueden ser los llamados \"falsos positivos\", que aparecen en la lista pero no suponen una amenaza en el contexto actual del sistema o est\u00e1n relacionados con el sistema. Aunque no se comprueben las amenazas activas, los an\u00e1lisis peri\u00f3dicos de vulnerabilidades siguen siendo necesarios para garantizar la seguridad de la informaci\u00f3n en general y deben repetirse a intervalos regulares. Adem\u00e1s de la parametrizaci\u00f3n incorrecta de los servidores de aplicaciones SAP, un escaneado de vulnerabilidades tambi\u00e9n detecta problemas como parches que faltan y protocolos, certificados y servicios obsoletos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Auditor\u00eda de seguridad y conformidad<\/h2>\n\n\n\n<p>Una auditor\u00eda de seguridad y cumplimiento es una revisi\u00f3n exhaustiva y formal de la seguridad de los sistemas de una empresa y de los procesos relevantes para la seguridad. Una auditor\u00eda SAP es, por tanto, un examen completo y exhaustivo no s\u00f3lo de atributos f\u00edsicos como la seguridad de la plataforma operativa, el servidor de aplicaciones y la arquitectura de red, sino tambi\u00e9n una inspecci\u00f3n y comprobaci\u00f3n de los conceptos de seguridad existentes, por ejemplo en temas como las autorizaciones SAP o el tratamiento de usuarios de emergencia.<\/p>\n\n\n\n<p>En cuanto a la metodolog\u00eda, la auditor\u00eda implica la realizaci\u00f3n de un escaneo de vulnerabilidades. Adem\u00e1s, los resultados se eval\u00faan en el contexto del entorno del sistema correspondiente y se eliminan los \"falsos positivos\". El valor informativo de una auditor\u00eda de seguridad y conformidad con respecto a la seguridad de los sistemas SAP va mucho m\u00e1s all\u00e1, ya que los resultados tambi\u00e9n se someten a una evaluaci\u00f3n, se consideran en el contexto del entorno del sistema de la empresa correspondiente y se resumen en un informe detallado. Se recomienda encarecidamente que las auditor\u00edas se lleven a cabo como preparaci\u00f3n inicial y tras la finalizaci\u00f3n de las medidas de endurecimiento y como parte de una migraci\u00f3n de sistema o plataforma.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Prueba de penetraci\u00f3n<\/h2>\n\n\n\n<p>A diferencia de los escaneos de vulnerabilidades y las auditor\u00edas, una prueba de penetraci\u00f3n, o pentest para abreviar, intenta explotar activamente las vulnerabilidades. El escaneo automatizado de vulnerabilidades se contrapone a un procedimiento que requiere conocimientos profundos y herramientas de distintos \u00e1mbitos. Una prueba de penetraci\u00f3n requiere una planificaci\u00f3n exhaustiva en cuanto al resultado que se desea obtener, el m\u00e9todo que se aplicar\u00e1 y las herramientas que se utilizar\u00e1n. El objetivo central de un pentest es identificar procesos de negocio inseguros, configuraciones de seguridad incorrectas u otras vulnerabilidades que un atacante podr\u00eda explotar. Por ejemplo, se puede descubrir la transmisi\u00f3n de contrase\u00f1as sin cifrar, la reutilizaci\u00f3n de contrase\u00f1as por defecto y el olvido de bases de datos en las que se almacenan credenciales de usuario v\u00e1lidas. Los pentests no necesitan realizarse con tanta frecuencia como las exploraciones de vulnerabilidades, pero es aconsejable repetirlos a intervalos regulares.<\/p>\n\n\n\n<p>Las pruebas de penetraci\u00f3n tambi\u00e9n deben ser realizadas por un proveedor externo y no por empleados internos. Esto garantiza una perspectiva objetiva y evita conflictos de intereses. Las partes externas deben tener una amplia y profunda experiencia en el campo de la tecnolog\u00eda de la informaci\u00f3n, preferiblemente en el \u00e1rea de negocio de la empresa. La capacidad de aplicar el pensamiento abstracto y anticipar el comportamiento de los actores de la amenaza es importante para la prestaci\u00f3n de este servicio, adem\u00e1s de centrarse en la exhaustividad y la comprensi\u00f3n de c\u00f3mo y por qu\u00e9 el entorno de una empresa podr\u00eda verse comprometido.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Identificar los puntos d\u00e9biles<\/h2>\n\n\n\n<p>En t\u00e9rminos de protecci\u00f3n hol\u00edstica, los tres m\u00e9todos dan como resultado la mejor protecci\u00f3n posible contra las vulnerabilidades a intervalos diferentes. Cada enfoque de las pruebas, desde los an\u00e1lisis de vulnerabilidades hasta las pruebas de penetraci\u00f3n espec\u00edficas, es crucial para una estrategia de seguridad integral. Sin embargo, la complejidad de las aplicaciones SAP dificulta el cumplimiento sistem\u00e1tico de los procedimientos de seguridad probados, ya que el volumen de registros generados es demasiado grande para analizarlo manualmente. Por lo tanto, tiene sentido confiar en el apoyo de especialistas externos como Pathlock. Adem\u00e1s de la consultor\u00eda de seguridad, en la que expertos en cumplimiento con la experiencia necesaria identifican vulnerabilidades incluso para pentests, ofrecen una gama de soluciones automatizadas de escaneado y detecci\u00f3n de amenazas.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/e3mag.com\/de\/partners\/pathlock\/\" target=\"_blank\" rel=\"noreferrer noopener\"><img loading=\"lazy\" decoding=\"async\" width=\"1000\" height=\"112\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock.jpg\" alt=\"Entrada de socios Pathlock\" class=\"wp-image-121436\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock.jpg 1000w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-400x45.jpg 400w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-768x86.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-100x11.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-480x54.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-640x72.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-720x81.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-960x108.jpg 960w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/figure>","protected":false},"excerpt":{"rendered":"<p>Para evaluar el potencial de riesgo de los paisajes SAP<br \/>\nPara poder supervisar la evoluci\u00f3n de una empresa e identificar posibles puntos de ataque, existen numerosas medidas que dificultan mantener una visi\u00f3n de conjunto.<\/p>","protected":false},"author":2368,"featured_media":134864,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,43645],"tags":[43699,236],"coauthors":[43700],"class_list":["post-134854","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-23-11","tag-complience-audit","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Um das Gef\u00e4hrdungspotenzial von SAP-Landschaften einsch\u00e4tzen zu<br \/>\nk\u00f6nnen und m\u00f6gliche Angriffspunkte zu identifizieren, gibt es zahlreiche Ma\u00dfnahmen, bei denen es eine Herausforderung darstellt, den \u00dcberblick zu behalten.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/es\/category\/it-management\/\" rel=\"category tag\">IT-Management<\/a>, <a href=\"https:\/\/e3mag.com\/es\/category\/mag-23-11\/\" rel=\"category tag\">MAG 23-11<\/a>","author_info_v2":{"name":"E3 Magazine","url":"https:\/\/e3mag.com\/es\/author\/e3_magazin\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/134854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/2368"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=134854"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/134854\/revisions"}],"predecessor-version":[{"id":134859,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/134854\/revisions\/134859"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/134864"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=134854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=134854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=134854"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=134854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}