{"id":140081,"date":"2024-03-07T07:00:00","date_gmt":"2024-03-07T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=140081"},"modified":"2024-09-19T10:36:32","modified_gmt":"2024-09-19T08:36:32","slug":"ciberseguridad-proteccion-contra-malware-a-nivel-de-aplicacion-con-sap-vsi","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/ciberseguridad-proteccion-contra-malware-a-nivel-de-aplicacion-con-sap-vsi\/","title":{"rendered":"Ciberseguridad \u2013protecci\u00f3n contra malware a nivel de aplicaci\u00f3n con SAP VSI"},"content":{"rendered":"

El n\u00famero de ataques a aplicaciones SAP no deja de aumentar. Aunque SAP no se menciona expl\u00edcitamente en los art\u00edculos de prensa y medios sociales pertinentes sobre incidentes de seguridad, cualquiera que sepa leer entre l\u00edneas se dar\u00e1 cuenta r\u00e1pidamente de que la \"aplicaci\u00f3n ERP\" que se vio comprometida o el \"sistema de recursos humanos\" que fue atacado era con toda probabilidad una aplicaci\u00f3n SAP. Era de esperar que la frecuencia y la tasa de \u00e9xito de los ataques a aplicaciones ERP empresariales aumentaran. Al fin y al cabo, \u00e9stas representan las \"joyas de la corona de datos\" de muchas empresas y el \"bot\u00edn\" esperado justifica la inversi\u00f3n en el desarrollo de conocimientos especializados sobre SAP desde el punto de vista de los atacantes. Por lo tanto, no es de extra\u00f1ar que la \"ciberseguridad SAP\", como disciplina que se distingue deliberadamente de la cl\u00e1sica \"seguridad SAP\" centrada en SoD, roles y GRC, ocupe ahora un lugar permanente en los programas de todos los eventos y publicaciones relevantes de SAP.<\/p>\n\n\n\n

La ciberseguridad de SAP es un tema complejo con numerosos componentes que tienen interfaces con la seguridad cl\u00e1sica de la infraestructura (sistema operativo, red), pero tambi\u00e9n con la ya mencionada seguridad de la l\u00f3gica empresarial y los aspectos de GRC. Una de estas facetas es la protecci\u00f3n contra malware y otros contenidos peligrosos en archivos que se procesan como adjuntos en aplicaciones SAP. A continuaci\u00f3n, se destacar\u00e1n cinco razones por las que esta protecci\u00f3n es esencial si su aplicaci\u00f3n procesa archivos y adjuntos:<\/p>\n\n\n\n

Raz\u00f3n n\u00ba 1: SAP recomienda el uso de VSI<\/h2>\n\n\n\n\n\n\n\n

Desde su primera publicaci\u00f3n en 2016, la \"Gu\u00eda de seguridad para S\/4 HANA\" incluye un cap\u00edtulo entero dedicado al tema del escaneado de virus. En \u00e9l se indica expl\u00edcitamente que se recomienda el uso de un esc\u00e1ner de virus compatible con VSI 2.x. El c\u00f3digo de SAP S\/4 HANA llama al esc\u00e1ner a trav\u00e9s de una interfaz dedicada (VSI, la interfaz de escaneo de virus de SAP) en varios puntos durante el procesamiento, por ejemplo, durante la carga, la descarga o al pasar por la pasarela. <\/p>\n\n\n\n

Aunque SAP sigue refiri\u00e9ndose a la interfaz en cuesti\u00f3n como la \"Interfaz de Escaneo de Virus\", la versi\u00f3n actual 2.1 de la interfaz se ha ampliado a una interfaz completa de \"Escaneo de Contenido\". SAP recomienda tres tipos de escaneo en la Gu\u00eda de Seguridad:<\/p>\n\n\n\n

    \n
  1. Detecci\u00f3n de malware basada en firmas: <\/strong>La detecci\u00f3n basada en firmas sigue siendo la t\u00e9cnica preferida para detectar malware que no se ejecuta, con altos \u00edndices de detecci\u00f3n y un rendimiento muy elevado. <\/li>\n\n\n\n
  2. Reconocimiento de tipos MIME<\/strong>g: Esto se refiere al filtrado de transferencias de archivos basado en el contenido de los archivos transferidos y no - como es habitual en el est\u00e1ndar SAP - \u00fanicamente basado en la extensi\u00f3n del nombre del archivo.<\/li>\n\n\n\n
  3. Reconocimiento y bloqueo de contenidos activos<\/strong>El contenido activo es el que est\u00e1 incrustado en los archivos y se ejecuta cuando \u00e9stos se visualizan o procesan. Esto incluye, por ejemplo, macros en documentos de Office, pero tambi\u00e9n JavaScript en PDF, archivos XML y de imagen, scripts, MS Silverlight, XSLT, OLE, DDE, etc.<\/li>\n<\/ol>\n\n\n\n\n\n\n\n

    Raz\u00f3n n\u00ba 2: Advertencias relevantes para la auditor\u00eda en el registro de auditor\u00eda de seguridad<\/h2>\n\n\n\n\n\n\n\n

    En el pasado, las transferencias de archivos en aplicaciones SAP se realizaban a menudo sin el conocimiento de los responsables de seguridad. Por lo tanto, los kernels ABAP actuales (a partir de la versi\u00f3n 757) generan advertencias (evento SAL FU9) en el registro de auditor\u00eda de seguridad si se han transferido archivos que no se han analizado debido a la ausencia o inactividad de la protecci\u00f3n antivirus VSI. Dichas advertencias suelen clasificarse como riesgo empresarial durante una auditor\u00eda y debe verificarse su mitigaci\u00f3n.<\/p>\n\n\n

    \n
    \"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
    Desde el kernel 757, se generan advertencias en el registro de auditor\u00eda de seguridad si se transfieren archivos hacia o desde la aplicaci\u00f3n sin ser analizados.<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n

    Motivo n\u00ba 3: Conclusiones del equipo rojo o de las pruebas de penetraci\u00f3n<\/h2>\n\n\n\n\n\n\n\n

    Es un procedimiento est\u00e1ndar en las pruebas de penetraci\u00f3n averiguar si se puede cargar malware en la aplicaci\u00f3n a trav\u00e9s de las funcionalidades de carga de archivos. Los penetradores o red teamers suelen utilizar el archivo de prueba EICAR para este fin. Aunque este archivo no es malware real, todos los antivirus lo bloquean. Si el archivo de prueba EICAR puede cargarse en la aplicaci\u00f3n, esto representa una vulnerabilidad denominada \"Carga de archivos no restringida\" (MITRE CWE-434). Esta vulnerabilidad ha ido subiendo a\u00f1o tras a\u00f1o en el ranking MITRE de las vulnerabilidades m\u00e1s peligrosas desde 2019 y ascendi\u00f3 al top 10 de este ranking en 2023.<\/p>\n\n\n\n

    Para comprobar si los filtros de tipo de archivo de la aplicaci\u00f3n tambi\u00e9n se pueden eludir f\u00e1cilmente, los penetradores tambi\u00e9n cargan archivos con extensiones de archivo \"err\u00f3neas\" en la aplicaci\u00f3n (\"notepad.pdf\"). Si esto tiene \u00e9xito, los penetration testers certifican un hallazgo de vulnerabilidad de tipo CWE-636. La categor\u00eda \"Dise\u00f1o inseguro\", a la que pertenece esta vulnerabilidad, se encuentra en el top 10 de vulnerabilidades del Open Web Application Security Project (OWASP).<\/p>\n\n\n\n

    Raz\u00f3n n\u00ba 4: El antimalware a nivel de servidor no protege SAP<\/h2>\n\n\n\n\n\n\n\n

    Es un error muy extendido pensar que una soluci\u00f3n de seguridad de servidor instalada a nivel de sistema operativo en un servidor SAP tambi\u00e9n protege las transferencias de archivos en la aplicaci\u00f3n SAP. En primer lugar, SAP recomienda excluir todos los directorios de la instancia SAP y de la base de datos del an\u00e1lisis en tiempo real del antivirus a nivel de sistema operativo por motivos de rendimiento (v\u00e9ase la nota SAP 106267). <\/p>\n\n\n\n

    Pero incluso si se ignora esta nota, las transferencias de archivos a nivel de aplicaci\u00f3n siguen siendo invisibles para el esc\u00e1ner de virus sin una conexi\u00f3n VSI. Esto se debe al hecho de que los analizadores de virus siempre analizan los archivos cuando se escriben o se leen del sistema de archivos. En el contexto de una aplicaci\u00f3n SAP, sin embargo, este acceso al sistema de archivos no tiene lugar. Normalmente, un servidor de aplicaciones front-end -o la pasarela en el caso de las aplicaciones FIORI- acepta la transferencia del archivo y lo mantiene en memoria antes de reenviarlo a un servidor back-end (normalmente a trav\u00e9s de SAP RFC). Este servidor no escribe el archivo en el sistema de archivos, sino que lo almacena en la base de datos o en un DMS, por ejemplo el SAP Content Server. No se accede al sistema de archivos en ning\u00fan punto de esta cadena de procesamiento. El archivo se transfiere al almac\u00e9n de datos m\u00e1s interno de la aplicaci\u00f3n SAP sin haber sido escaneado nunca.<\/p>\n\n\n\n

    Los intentos de abordar el vector de amenaza de la carga de archivos a nivel de red tambi\u00e9n dan resultados parciales en el mejor de los casos. Aunque ahora es posible analizar las cargas en busca de malware a trav\u00e9s de HTTP\/HTTPS en un cortafuegos NextGen o un proxy inverso, estas soluciones suelen fallar con las transferencias desde aplicaciones FIORI porque el archivo se transfiere como una cadena codificada en BASE64 en el canal OData a trav\u00e9s de HTTP\/S. Esta anidaci\u00f3n no la resuelven los cortafuegos NextGen ni los proxies inversos. Este anidamiento no lo resuelven los cortafuegos NextGen ni los proxies inversos. El archivo contenido en el OData tampoco se escanea. Los intentos de escanear transferencias a trav\u00e9s de protocolos propietarios de SAP como DIAG (utilizado por la GUI de SAP) o SAP RFC fallan porque estos protocolos no se pueden descodificar, especialmente cuando se utiliza SNC para cifrar la conexi\u00f3n. <\/p>\n\n\n\n

    Raz\u00f3n n\u00ba 5: Cumplimiento y responsabilidad<\/h2>\n\n\n\n\n\n\n\n

    Casi todas las organizaciones est\u00e1n sujetas a marcos de cumplimiento que exigen expl\u00edcitamente la implementaci\u00f3n de una protecci\u00f3n contra malware actualizada y de \u00faltima generaci\u00f3n. En primer lugar, por supuesto, NIS2, pero tambi\u00e9n ISO 27002:2022 - Control 8.7, PCI DSS, HIPAA y el Cat\u00e1logo de Cloud Computing de BSI.<\/p>\n\n\n\n

    SAP introdujo la interfaz de exploraci\u00f3n de virus en NetWeaver04 en 2005 y, desde entonces, la ha implantado en casi todas las aplicaciones, incluidas HANA XS\/XSA, Business Objects, etc. De hecho, el uso de VSI es, por tanto, puntero.<\/p>\n\n\n\n

    Como resultado, las empresas que no implementen la protecci\u00f3n contra malware a trav\u00e9s de SAP VSI pueden ser consideradas responsables si usuarios ajenos a la empresa sufren da\u00f1os como consecuencia de ello, por ejemplo, porque descargan un archivo de la aplicaci\u00f3n SAP que est\u00e1 infectado con malware o incluso con ransomware.<\/p>\n\n\n\n

    Conclusi\u00f3n:\u2009<\/h2>\n\n\n\n\n\n\n\n

    Las transferencias de ficheros o archivos adjuntos en aplicaciones SAP suponen un riesgo potencial considerable. Esto afecta tanto a la seguridad e integridad de la propia aplicaci\u00f3n como a la del usuario. Por tanto, la comprobaci\u00f3n de los archivos en busca de malware y otros contenidos peligrosos durante la carga y descarga debe formar parte integral de la estrategia de ciberseguridad de SAP. Las soluciones de protecci\u00f3n contra malware a nivel de sistema operativo y de red no son capaces de asegurar las transferencias de archivos en las aplicaciones SAP. <\/p>\n\n\n\n

    Por este motivo, SAP proporciona una interfaz de an\u00e1lisis de virus (VSI) en todos los productos actuales, con la que las transferencias de archivos pueden y deben analizarse a nivel de aplicaci\u00f3n.<\/p>\n\n\n\n\n\n\n\n

    <\/div>\n\n\n\n

    Un publirreportaje de:<\/p>\n\n\n\n

    \"\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

    En el contexto de SAP, los archivos adjuntos suponen una amenaza particular para los el usuarios que no se puede abordar con herramientas de seguridad est\u00e1ndares, sino que requiere el uso de una API especial del n\u00facleo de SAP para su mitigaci\u00f3n.<\/p>","protected":false},"author":1510,"featured_media":140089,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44017,43842],"tags":[20346,43874],"coauthors":[22523],"class_list":["post-140081","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-extra-2403","category-mag-24-03","tag-cybersecurity","tag-vsi","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Uploads oder Attachments stellen im SAP-Kontext eine besondere Bedrohung f\u00fcr Anwendung und Anwender dar, die mit Standard-Security-Tools nicht adressiert werden kann, sondern zur Mitigation die Verwendung einer besonderen SAP-Kernel-API erfordert.<\/p>\n","category_list_v2":"Extra 2403<\/a>, MAG 24-03<\/a>","author_info_v2":{"name":"J\u00f6rg Schneider-Simon, Bowbridge Software","url":"https:\/\/e3mag.com\/es\/author\/joerg-schneider\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/140081","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/1510"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=140081"}],"version-history":[{"count":18,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/140081\/revisions"}],"predecessor-version":[{"id":140149,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/140081\/revisions\/140149"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/140089"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=140081"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=140081"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=140081"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=140081"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}