Para que un fraude se extienda a Atacante<\/span> su Derechos<\/span> en los sistemas SAP, se configura como falso proveedor, elabora una factura e inicia la transferencia a su propia cuenta.<\/p>\n Esto se consigue ampliando los privilegios de un usuarioCuentas<\/span> - socavando el enfoque de seguridad espec\u00edfico de SAP de Segregaci\u00f3n de Funciones (SoD): Aunque una separaci\u00f3n de funciones o competencias puede ser eficaz para Seguridad<\/span> por Derechos<\/span> de empleados en desarrollo, producci\u00f3n, planificaci\u00f3n y contabilidad.<\/p>\n En un caso, del que alert\u00f3 el US-CERT, afiliado al gobierno, en mayo de 2016, una vulnerabilidad que en realidad es parcheable desde 2010 est\u00e1 siendo Brecha de seguridad<\/span> se sigue utilizando en los sistemas SAP con el Invoker Servlet activado.<\/p>\n La brecha permite Atacante<\/span> acceso remoto al nuevo SAPUsuario<\/span> con privilegios de administraci\u00f3n a trav\u00e9s del navegador web.<\/p>\n La brecha se detect\u00f3 en 36 empresas, 13 de las cuales generaban un volumen de negocio anual superior a diez mil millones de euros.<\/p>\n El ataque iba dirigido a plataformas SAP Java no actualizadas o mal configuradas. El sabotaje mediante el cierre de aplicaciones SAP o incluso de todo un sistema tambi\u00e9n es dram\u00e1tico.<\/p>\n En la primavera de 2016, los encuestados en un estudio del Ponemon Institute estimaron en 4,5 millones de d\u00f3lares los da\u00f1os causados cuando una aplicaci\u00f3n tiene que desconectarse, incluidos todos los costes de reparaci\u00f3n de los da\u00f1os y las oportunidades de negocio perdidas.<\/p>\n Las capas transaccionales -como Hana o NetWeaver-, que gestionan la informaci\u00f3n y los procesos empresariales, as\u00ed como el acceso a los mismos, regulan la comunicaci\u00f3n entre las instancias y son responsables de sus derechos de acceso, son los objetivos de los ataques a los derechos de acceso y a los perfiles de usuario. Seguridad<\/span> por ejemplo a trav\u00e9s de Cifrado<\/span> proporcionar.<\/p>\n Tambi\u00e9n Cuentas<\/span> y sus autorizaciones se gestionan en la capa de transacciones con par\u00e1metros y pueden gestionarse como en un Base de datos<\/span> cambiar. Atacante<\/span> intentar utilizar estos accesos para controlar a distancia el tr\u00e1fico de datos, leer, copiar, mover o sobrescribir directorios de cualquier contenido.<\/p>\n Todos los par\u00e1metros de las infraestructuras SAP pueden configurarse r\u00e1pidamente introduciendo valores num\u00e9ricos.<\/p>\n Las distintas posibilidades de Cuenta<\/span>-Administraci\u00f3n<\/span> crean r\u00e1pidamente complejidad y aumentan la tasa de errores.<\/p>\n Los riesgos se derivan de la personalizaci\u00f3n del software SAP, de las configuraciones de los usuarios y de la Gesti\u00f3n<\/span> Engine (UME) en los sistemas Java, que se encarga de buscar o crear nuevos usuarios, y por la Access Control List (ACL), que regula el inicio de sesi\u00f3n en los servidores y la autorizaci\u00f3n de programas o conexiones (reginfo, secinfo, Webdispatcher, Management Console, Message Server, ICM).<\/p>\n Existen otros riesgos en la configuraci\u00f3n de los roles de usuario y los par\u00e1metros de usuario en general (por ejemplo, a trav\u00e9s del usuario Sap_All universalmente autorizado y los perfiles de usuario que pueden aceptar conexiones RFC) o con configuraciones inseguras de los procedimientos de autenticaci\u00f3n.<\/p>\n Los privilegios de largo alcance convierten a los usuarios en peligrosos. Sin embargo, si se filtran datos de acceso o se eluden los procedimientos de autenticaci\u00f3n, el uso de tipos de usuario seguros puede proporcionar un segundo muro de protecci\u00f3n.<\/p>\n Por tanto, una regla b\u00e1sica en la gesti\u00f3n de derechos es utilizar un Usuario<\/span> s\u00f3lo con el m\u00ednimo de Derecha<\/span> que necesita para su tarea. El llamado usuario restringido, que no tiene ning\u00fan privilegio especial en la configuraci\u00f3n por defecto, se asigna a Bases de datos<\/span> s\u00f3lo a trav\u00e9s de aplicaciones cliente y no tiene acceso total a SQL deber\u00eda ser el est\u00e1ndar de seguridad.<\/p>\n Los usuarios est\u00e1ndar que pueden crear sus propios objetos y leer datos en la vista del sistema por defecto y tienen un rol p\u00fablico deben evitarse siempre que sea posible. En particular, deben supervisarse sus actividades de inicio de sesi\u00f3n, consulta de datos y transferencia de datos.<\/p>\n Por supuesto, esto tambi\u00e9n se aplica a los Hana<\/span>-user: El usuario adm (donde significa el respectivo Hana<\/span>-system SID), que se crea a nivel de sistema operativo durante el proceso de instalaci\u00f3n, proporciona un Riesgo<\/span> representa. Tiene privilegios para todos Hana<\/span>-recursos del sistema.<\/p>\n Muchos proveedores de sistemas fijan el Contrase\u00f1a<\/span> para este Usuario<\/span> durante la instalaci\u00f3n de los sistemas en las instalaciones del cliente. Deber\u00e1 modificarse tras la entrega de la infraestructura SAP como muy tarde.<\/p>\n Tambi\u00e9n otros Usuario<\/span> en el entorno del sistema operativo, como el usuario root, el usuario sapadm o los perfiles de usuario creados individualmente, deben configurarse de forma segura y supervisarse a\u00fan m\u00e1s con amplios privilegios.<\/p>\n Los mecanismos de emergencia de SAP son otra puerta trasera que hay que vigilar y que a menudo no pide credenciales al entrar. El par\u00e1metro de perfil login\/no_automatic_user_sapstar proporciona acceso para resolver problemas sin complicaciones, lo que puede llevar a la peligrosa Puerta trasera<\/span> puede hacerse realidad.<\/p>\n Si a continuaci\u00f3n se elimina el superusuario SAP*, este acceso deja de existir para los datos auditables Bases de datos<\/span>. Por lo tanto, pasa desapercibido cuando se realizan auditor\u00edas convencionales, pero est\u00e1 conectado al sistema con todas las autorizaciones. Adem\u00e1s, la normaContrase\u00f1a<\/span> no se modifique. El resultado del mal uso es el compromiso de uno o m\u00e1s clientes, uno o m\u00e1s servidores de aplicaciones o incluso todo el sistema SAP.<\/p>\n El remedio sencillo es no borrar nunca el superusuario, guardar adicionalmente el usuario SAP* y establecer el valor login\/no_automatic_user_sapstar en \"1\".<\/p>\n Sin embargo, las configuraciones inseguras de los procedimientos de autenticaci\u00f3n tambi\u00e9n suponen un alto riesgo. Riesgo<\/span> representan. Peligro es creado por scripts para el almacenamiento autom\u00e1tico de Contrase\u00f1as<\/span> en la interfaz de usuario SAP GUI. Con los ajustes adecuados, \u00e9stos guardan los valores introducidos en el campo de inicio de sesi\u00f3n, por ejemplo, y por lo tanto tambi\u00e9n Contrase\u00f1as<\/span> - sino tambi\u00e9n los datos de usuario de los clientes.<\/p>\n Este tipo de ataques se ven favorecidos por un Cifrado<\/span> al guardar los datos. Adem\u00e1s, el historial de entradas en los campos de nombre de usuario se guarda para cada usuario. Usuario<\/span> guardados en un archivo de nombre uniforme, de modo que un Hacker<\/span> encontrarlos f\u00e1cilmente. Para saber m\u00e1s Seguridad<\/span> proporciona la Protecci\u00f3n<\/span> de entradas en campos de entrada oscurecidos o cancelar el guardado de entradas anteriores.<\/p>\n Otra brecha son los llamados atajos SAP. Aqu\u00ed se definen Usuario<\/span> no s\u00f3lo una direcci\u00f3n de destino para iniciar sesi\u00f3n en una instancia de SAP, la transacci\u00f3n que debe desencadenarse all\u00ed y, en determinadas circunstancias, la introducci\u00f3n de un nombre de usuario predeterminado.<\/p>\n Un atajo definido o controlado por las manos equivocadas puede convertirse en una puerta de acceso a los sistemas. En capas de transacciones anteriores, el peligro era a\u00fan mayor, porque los atajos tambi\u00e9n inclu\u00edan la introducci\u00f3n autom\u00e1tica de datos individualizados. Contrase\u00f1as<\/span> podr\u00eda instalarse.<\/p>\n SAP ha puesto estas opciones a disposici\u00f3n de los nuevos Contrase\u00f1as<\/span> por lo tanto bloqueado mientras tanto. Para los ya existentes Contrase\u00f1as<\/span> este riesgo puede seguir existiendo.<\/p>\n Dada la complejidad y dimensi\u00f3n del problema de la configuraci\u00f3n, es dif\u00edcil evitar los errores. Sin embargo, es importante encontrarlos y rectificarlos lo antes posible.<\/p>\n Por ello, una soluci\u00f3n de seguridad SAP eficaz analiza los errores de configuraci\u00f3n y ofrece protecci\u00f3n casi en tiempo real contra posibles ataques.<\/p>\n El inventario de Lagunas de seguridad<\/span> s\u00f3lo puede lograrse mediante soluciones de evaluaci\u00f3n automatizadas. Es importante comprobar continuamente el estado de seguridad de la infraestructura SAP para reconocer inmediatamente cualquier nueva configuraci\u00f3n incorrecta. Esto significa que no s\u00f3lo los sistemas productivos, sino tambi\u00e9n Prueba<\/span>-deben tenerse en cuenta, porque es precisamente aqu\u00ed donde el usuario configurado por defecto y a menudo olvidadoCuentas<\/span>que son explotadas por visitantes no deseados.<\/p>\n Configuraciones de Cuentas<\/span> o las soluciones de autenticaci\u00f3n pueden personalizarse seg\u00fan diversas directrices (SAP-Pol\u00edtica de seguridad<\/span>PCI, SOX, NERC, Custom u otros).<\/p>\n A continuaci\u00f3n, una soluci\u00f3n para la detecci\u00f3n y defensa de las amenazas proporciona instrucciones paso a paso sobre c\u00f3mo eliminar las lagunas para que puedan aplicarse r\u00e1pidamente.<\/p>\n Las soluciones ofrecen protecci\u00f3n casi en tiempo real contra amenazas desconocidas, que tambi\u00e9n est\u00e1n causadas por riesgos relacionados con la configuraci\u00f3n.Protecci\u00f3n<\/span> bloqueando los ataques hasta que est\u00e9 disponible una nota de seguridad de SAP.<\/p>\n A la cabeza de la lista se encuentra tambi\u00e9n un Supervisi\u00f3n<\/span> de acceso anormal por parte de empleados internos.<\/p>\n El promotor que de repente o en momentos inusuales recurre a instancias para llevar la contabilidad no debe pasar desapercibido y su Accede a<\/span> bloquearse en caso necesario.<\/p>","protected":false},"excerpt":{"rendered":" Los procesos y datos empresariales controlados por SAP son un objetivo atractivo para los atacantes. Tanto los atacantes externos como los internos que secuestran datos de acceso ajenos o ampl\u00edan autorizaciones pueden acceder a datos y aplicaciones a trav\u00e9s de las capas de transacciones de sistemas SAP configurados de forma incorrecta o arriesgada.<\/p>","protected":false},"author":79,"featured_media":4256,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,1359,117],"coauthors":[22310],"class_list":["post-4240","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-onapsis","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",400,280,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-768x538.jpg",768,538,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-100x70.jpg",100,70,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-480x336.jpg",480,336,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-640x448.jpg",640,448,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-720x504.jpg",720,504,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-960x672.jpg",960,672,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",964,675,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" SAP-gesteuerte Gesch\u00e4ftsprozesse und Daten sind f\u00fcr Angreifer ein attraktives Ziel. Externe wie interne Angreifer, die fremde Zugangsdaten in Beschlag nehmen oder Berechtigungen ausweiten, k\u00f6nnen auf Daten und Anwendungen \u00fcber die Transaktionslayer von falsch oder riskant konfigurierten SAP-Systemen zugreifen.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Mariano N\u00fa\u00f1ez, Onapsis","url":"https:\/\/e3mag.com\/es\/author\/mariano-nunez\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/4240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=4240"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/4240\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/4256"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=4240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=4240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=4240"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=4240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Mariano](\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Mariano-Nun.jpg\" "\\"Objetivo")
<\/a>Sin embargo, la separaci\u00f3n tambi\u00e9n puede estar causada por un fuerte privilegio Cuentas<\/span> puede anularse.<\/p>\nAtaques a perfiles y privilegios<\/h3>\n
Cuenta<\/span>-Gesti\u00f3n e \u00edndice de error<\/h3>\n
Gesti\u00f3n<\/span> de Riesgo<\/span>-usuarios<\/h3>\n
Entradas laterales<\/h3>\n
<\/a><\/p>\nComprobaci\u00f3n de la configuraci\u00f3n y defensa contra ataques<\/h3>\n
<\/a><\/p>\n