{"id":56481,"date":"2019-03-07T08:00:13","date_gmt":"2019-03-07T07:00:13","guid":{"rendered":"http:\/\/e3mag.com\/?p=56481"},"modified":"2020-02-09T14:50:41","modified_gmt":"2020-02-09T13:50:41","slug":"it-security-super-facil-o-super-dificil","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/it-security-supereinfach-oder-superschwer\/","title":{"rendered":"Seguridad inform\u00e1tica: superf\u00e1cil o superdif\u00edcil"},"content":{"rendered":"<p>A m\u00e1s tardar desde la vulnerabilidad de la pasarela presentada en la conferencia Blackhat de 2007 (cf. <a href=\"https:\/\/www.youtube.com\/watch?v=Fhlx6bpY_XQ\" target=\"_blank\" rel=\"noopener noreferrer\">V\u00cdDEO<\/a>) ha cambiado definitivamente la percepci\u00f3n de la seguridad de SAP. Esta vulnerabilidad permite a un atacante sin autenticaci\u00f3n crear un usuario administrador con autorizaciones \"SAP_ALL\" en sistemas SAP ERP y Abap.<\/p>\n<p>El atacante tiene entonces el control total y puede ver y manipular cualquier dato. A pesar de que esta vulnerabilidad se conoce desde hace tanto tiempo, muchos clientes de ERP siguen siendo vulnerables a ella y a muchas otras vulnerabilidades est\u00e1ndar en 2019. A qu\u00e9 se debe esto?<\/p>\n<p>Los avisos de seguridad de SAP no pueden compararse directamente con las actualizaciones de seguridad de Microsoft Windows porque SAP sigue el principio de la compatibilidad hacia atr\u00e1s en el mundo Abap. En consecuencia, SAP siempre proporciona un interruptor en los avisos si existe el riesgo de que el parche ponga en peligro la funcionalidad existente o la disponibilidad en el cliente.<\/p>\n<p>Por consiguiente, en estos casos, la importaci\u00f3n por s\u00ed sola no es suficiente; el cliente debe realizar primero los pasos manuales para activar el sistema. A menudo, son las vulnerabilidades cr\u00edticas las que requieren este trabajo manual y, por tanto, conducen sin saberlo a sistemas inseguros. Este es tambi\u00e9n el caso de la vulnerabilidad ejemplar del gateway, frente a la cual un gran n\u00famero de sistemas de clientes siguen siendo vulnerables.<\/p>\n<p>SAP cambi\u00f3 su estrategia de seguridad en 2009 y desde entonces ha publicado 4256 avisos de seguridad SAP, de los cuales m\u00e1s del 50 por ciento se publicaron entre 2010 y 2012. Seg\u00fan declaraciones realizadas en un TechEd, SAP examin\u00f3 todo el est\u00e1ndar SAP con an\u00e1lisis est\u00e1tico de c\u00f3digo por primera vez en ese momento, lo que se dice que contribuy\u00f3 a la acumulaci\u00f3n anterior.<\/p>\n<p>En 2010 se introdujo el \"SAP Security Patchday\" el segundo martes de cada mes. Esto significa que los avisos se publican principalmente solo en paquetes. A partir de 2012, se introdujo que los avisos de seguridad solo se entregaran con paquetes de soporte en funci\u00f3n de su prioridad.<\/p>\n<p>Debe observarse la regla de los 18 meses: seg\u00fan esta regla, la importaci\u00f3n de avisos de seguridad s\u00f3lo est\u00e1 garantizada en sistemas que se encuentren en un nivel de Support Package que no tenga m\u00e1s de 18 meses. Por lo tanto, cada cliente necesita un ciclo regular de importaci\u00f3n de Support Package adem\u00e1s de un ciclo de parches de seguridad de SAP.<\/p>\n<p>Mientras que en un entorno de sistema SAP de un solo nivel todav\u00eda es posible supervisar manualmente las notas, las configuraciones y los niveles de Support Package, esto resulta cada vez m\u00e1s dif\u00edcil o imposible en entornos SAP grandes y heterog\u00e9neos. En estos casos, tiene sentido supervisar estas tareas con un sistema automatizado. Tanto SAP como el mercado libre ofrecen diversas soluciones al respecto.<\/p>\n<p>Se resolver\u00e1n estos retos en 2019 con S\/4 y Hana? En la nube, SAP realiza el mantenimiento de la infraestructura, pero el cliente ya no tiene aqu\u00ed acceso a la GUI de SAP y no puede llevar a cabo sus propios desarrollos en el sistema central.<\/p>\n<p>Los clientes se enfrentan a nuevos retos en las arquitecturas h\u00edbridas. A menudo, con la creciente complejidad, no est\u00e1 claro d\u00f3nde, con qu\u00e9 frecuencia, qu\u00e9 datos se almacenan y qui\u00e9n tiene acceso a ellos.<\/p>\n<p>Esto es especialmente cierto si el departamento comercial puede activar servicios adicionales con una tarjeta de cr\u00e9dito, lo que TI no advierte al principio. Los clientes que utilizan S\/4 on-premise siguen teniendo que tener en cuenta los problemas mencionados anteriormente.<\/p>\n<p>Incluso en 2019, un S\/4 1809 actual debe ser endurecido despu\u00e9s de la instalaci\u00f3n. Algunos ejemplos son el registro de auditor\u00eda de seguridad, que no est\u00e1 activado en el est\u00e1ndar, la protecci\u00f3n contra ataques de devoluci\u00f3n de llamada RFC, que no est\u00e1 activada, o la longitud m\u00ednima de contrase\u00f1a de solo 6 caracteres, que se lleva suministrando desde 1992.<\/p>\n<p>La conclusi\u00f3n para 2019 es que los clientes son responsables de la seguridad de sus propios datos y seguir\u00e1n si\u00e9ndolo. En los \u00faltimos a\u00f1os, todos los a\u00f1os ha habido vulnerabilidades cr\u00edticas en el est\u00e1ndar SAP.<\/p>\n<p>Por tanto, sigue siendo necesario parchear puntualmente los sistemas SAP y supervisar la instalaci\u00f3n. Esto se aplica tanto a los componentes utilizados como a los no utilizados.<\/p>","protected":false},"excerpt":{"rendered":"<p>Desde 2012, ha habido un n\u00famero creciente de ataques divulgados p\u00fablicamente y con \u00e9xito contra los sistemas SAP. C\u00f3mo ha cambiado la seguridad de SAP en los \u00faltimos diez a\u00f1os, c\u00f3mo de seguros son los sistemas SAP hoy en d\u00eda y qu\u00e9 podemos esperar en 2019?<\/p>","protected":false},"author":1676,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,27969],"tags":[39,73,19701,236,1175],"coauthors":[28039],"class_list":["post-56481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1902","tag-cloud","tag-erp","tag-s-4-hana","tag-sap","tag-teched","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Seit 2012 h\u00e4ufen sich \u00f6ffentlich bekannt gewordene und erfolgreiche Angriffe auf SAP-Systeme. Wie hat sich die SAP-Sicherheit in den vergangenen zehn Jahren ge\u00e4ndert, wie sicher sind SAP-Systeme heute und was erwartet uns 2019?<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/es\/category\/meinung\/it-security\/\" rel=\"category tag\">IT-Security Kolumne<\/a>, <a href=\"https:\/\/e3mag.com\/es\/category\/meinung\/\" rel=\"category tag\">Die Meinung der SAP-Community<\/a>, <a href=\"https:\/\/e3mag.com\/es\/category\/mag-1902\/\" rel=\"category tag\">MAG 19-02<\/a>","author_info_v2":{"name":"Frederik Weidemann, Fragua Virtual","url":"https:\/\/e3mag.com\/es\/author\/frederik-weidemann\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/56481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/1676"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=56481"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/56481\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=56481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=56481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=56481"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=56481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}