{"id":20551,"date":"2017-04-19T11:55:27","date_gmt":"2017-04-19T09:55:27","guid":{"rendered":"http:\/\/e3mag.com\/?p=20551"},"modified":"2022-05-01T08:22:15","modified_gmt":"2022-05-01T06:22:15","slug":"acceso-limitado-para-cuidadores-basicos","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/begrenzter-zugriff-fuer-basisbetreuer\/","title":{"rendered":"Acceso limitado para los supervisores de base"},"content":{"rendered":"

Con DBACockpit y DB02, los empleados de SAP Basis tienen a su disposici\u00f3n dos transacciones centrales con las que pueden supervisar, controlar, configurar y gestionar las bases de datos SAP.<\/p>\n

A trav\u00e9s de \u00e9l se pueden realizar numerosas funciones b\u00e1sicas, como comprobar el estado del sistema y los modos de funcionamiento, ampliar tablas o mantener y actualizar \u00edndices.<\/p>\n

Adem\u00e1s, ambas transacciones contienen el editor de comandos SQL, que permite acceder directamente a las tablas funcionales mediante los denominados comandos Open SQL.<\/p>\n

Esto tambi\u00e9n permite a los usuarios acceder a informaci\u00f3n cr\u00edtica para la empresa, como datos de personal y de contabilidad financiera o incluso hashes de contrase\u00f1as.<\/p>\n

Urgen parches de seguridad para SQL Command Editor<\/h3>\n

SAP ha suministrado numerosos parches de seguridad para el Editor de comandos SQL. Estos parches de seguridad deben ser observados y aplicados.<\/p>\n

Para regular el acceso a los datos SAP, SAP tambi\u00e9n ha suministrado una nueva autorizaci\u00f3n (S_TABU_SQL). Esto permite a las empresas definir qu\u00e9 empleados pueden acceder a qu\u00e9 datos SAP. \"Kastner\"<\/a><\/p>\n

Adem\u00e1s, se ha implementado una funci\u00f3n de seguimiento en el editor de comandos SQL, con la que cada comando -autorizado o no- se registra autom\u00e1ticamente.<\/p>\n

Si estos datos de registro se transfieren tambi\u00e9n a un sistema SIEM (Security Information and Event Management), como SAP Enterprise Threat Detection (ETD), y se analizan all\u00ed, las empresas obtienen transparencia sobre todos los accesos que se han producido.<\/p>\n

De este modo, los posibles usos indebidos pueden contrarrestarse r\u00e1pidamente mediante la supervisi\u00f3n y las alertas. Aunque tambi\u00e9n es necesario, por motivos de protecci\u00f3n de datos y cumplimiento de normativas, limitar el acceso de los empleados de SAP Basis Administration, la realidad suele ser diferente.<\/p>\n

Por ejemplo, las vulnerabilidades no parcheadas en la funci\u00f3n del editor de comandos SQL de DBACOCKPIT y DB02 se identifican repetidamente durante las pruebas de seguridad de SAP en empresas de todos los tama\u00f1os y sectores.<\/p>\n

De este modo, los administradores de SAP Basis disponen de amplias posibilidades para acceder a datos sensibles de SAP.<\/p>\n

Posible adquisici\u00f3n total<\/h3>\n

Para ilustrar los posibles da\u00f1os consecuentes, los expertos en pruebas de penetraci\u00f3n SAP de Virtual Forge leyeron primero la tabla USR02 que contiene las contrase\u00f1as de usuario en un sistema de cliente seleccionado.<\/p>\n

Despu\u00e9s de que los probadores consiguieran descifrar las contrase\u00f1as cifradas con una herramienta de descifrado de contrase\u00f1as, pudieron iniciar sesi\u00f3n en el sistema SAP sin problemas y acceder a las mismas funciones para las que estaban autorizados los usuarios individuales.<\/p>\n

Las pruebas demostraron: los ataques maliciosos podr\u00edan haber llevado a comprometer por completo un sistema SAP.<\/p>\n

Por lo tanto, es imperativo que cada empresa usuaria de SAP importe regularmente las Notas de Seguridad, especialmente para el Editor de Comandos SQL.<\/p>\n

Adem\u00e1s, deben realizarse actualizaciones al menos una vez al a\u00f1o e importarse los paquetes de soporte m\u00e1s recientes, con los que SAP proporciona a los clientes correcciones de errores y ajustes de software exigidos legalmente.<\/p>\n

Se recomienda asesoramiento externo<\/h3>\n

Sin embargo, dado que la mayor\u00eda de las empresas no cuentan con expertos en seguridad SAP designados, tiene sentido recurrir a proveedores de servicios externos para la importaci\u00f3n peri\u00f3dica de parches de seguridad.<\/p>\n

Es esencial que el socio consultor cuente con los conocimientos necesarios en materia de seguridad y SAP, especialmente experiencia en la aplicaci\u00f3n de parches, comprensi\u00f3n de las distintas versiones de SAP y de los procedimientos de actualizaci\u00f3n, as\u00ed como conocimientos en el \u00e1mbito de la detecci\u00f3n y prevenci\u00f3n de amenazas.<\/p>\n

Equipado con estas competencias, el proveedor de seguridad SAP puede ayudar al cliente a evaluar la criticidad de los parches de seguridad. Adem\u00e1s, el cliente recibe asesoramiento sobre la selecci\u00f3n de las pruebas necesarias para evitar que se produzcan errores de programa y de aplicaci\u00f3n al aplicar los parches.<\/p>\n

Dado que las pruebas selectivas eliminan la necesidad de realizar pruebas de regresi\u00f3n en todo el sistema SAP, que llevan mucho tiempo, el cliente ahorra mucho tiempo y dinero.<\/p>\n

Utilizar las herramientas de forma complementaria<\/h3>\n

En el \u00e1mbito de la prevenci\u00f3n, tambi\u00e9n tiene sentido el uso de herramientas especiales para la detecci\u00f3n y correcci\u00f3n de errores en la configuraci\u00f3n del sistema SAP espec\u00edfica del cliente.<\/p>\n

Con el SystemProfiler de Virtual Forge (alternativamente: con esto), se pueden determinar todos los usuarios que tienen amplias autorizaciones para ejecutar el Editor de Comandos SQL (DB02, DBACOCKPIT) y las autorizaciones de tabla asociadas (S_TABU_SQL).<\/p>\n

Si un cliente ha conectado sus sistemas SAP a SAP Solution Manager, las brechas de seguridad y las vulnerabilidades pueden identificarse autom\u00e1ticamente con este tipo de herramientas.<\/p>\n

Por ejemplo, tambi\u00e9n se puede comprobar regularmente para todos los sistemas SAP si se han aplicado todos los parches de seguridad necesarios que eliminan por completo las brechas de seguridad en el Editor de comandos SQL.<\/p>\n

\"https:\/\/e3mag.com\/partners\/virtual-forge-gmbh\/\"<\/a><\/p>","protected":false},"excerpt":{"rendered":"

Si quiere proteger sus datos SAP de un uso indebido, tambi\u00e9n tiene que restringir los derechos de acceso de los administradores de la base SAP. Las pruebas de seguridad realizadas en los clientes demuestran graves deficiencias en este \u00e1mbito. <\/p>","protected":false},"author":985,"featured_media":20552,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,11023],"tags":[264,12211,236,1516,338,4981],"coauthors":[22425],"class_list":["post-20551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1704","tag-datenbanken","tag-monitoring","tag-sap","tag-security","tag-sql","tag-virtual-forge","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Wer seine SAP-Daten vor Missbrauch sch\u00fctzen will, muss auch die Zugriffsrechte f\u00fcr die SAP-Basisadministratoren beschr\u00e4nken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 17-04<\/a>","author_info_v2":{"name":"Thomas Kastner, Fragua Virtual","url":"https:\/\/e3mag.com\/es\/author\/thomas-kastner\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/20551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/985"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=20551"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/20551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/20552"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=20551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=20551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=20551"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=20551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}