Red Seguridad 081

68 red seguridad segundo trimestre 2018 vulnerabilidades opinión Francisco Martínez Carretero SAP Platform Foundation Manager de Techedge Sistemas SAP: el tesoro final de los ciberataques Estas acciones se circunscriben al ámbito interno de la aplicación. En cada una de estas capas deben aplicarse políticas de seguridad horizontal, cuidando de que cada una de ellas esté suficiente protegi- da, monitorizada y auditada. Sin embargo, el sistema SAP inte- ractúa con las capas que tiene deba- jo, a veces de manera muy directa, mediante accesos a las tablas de la base de datos, otras mediante llamadas al sistema operativo o a través del uso directo del sistema de ficheros para intercambiar datos. De manera que existe también un esquema de seguridad vertical, en el cual no solo hay que cuidar el estado de cada capa, sino la interacción entre las capas. Finalmente, un sistema SAP típi- co posee un número de interfaces considerable con otros entornos, en una gran variedad de proto- colos: acceso directo a ficheros (NTFS/Samba/NFS/SMB), transfe- rencia de ficheros mediante (S) FTP, accesos de entrada y salida por HTTP(S), SOAP, RFC, comu- nicaciones con la nube median- te Cloud Connector, balancea- dores software como SAP Web Dispatcher, o conexiones CPI-C a través SAP Gateway o SAP Router, comunicación con siste- mas de desarrollo y test (además La razón de que habitualmente los ERP queden fuera de la vista de la ciberseguridad se debe a unos pocos factores: - Percepción de que son sistemas internos y de uso minoritario. - Falta de información técnica, tanto en el lado de la ciberdefensa como en el de los ciberataques. - Asunción de que la seguridad interna de la aplicación (por ejemplo, los roles y las autorizaciones de SAP) es suficiente para controlar lo que ocurre en ella. El hecho es que estos tres factores proporcionan una ilusoria sensación de control. Adicionalmente, las audi- torías de seguridad que se realizan en los sistemas SAP están orienta- das en particular a aspectos concre- tos de la segregación de funciones y las autorizaciones críticas, pero dejan fuera del alcance la mayor parte de las fuentes de ciberataques. Sistemas complejos Los sistemas SAP son técnicamen- te complejos. En el sentido vertical, se apoyan en el sistema operativo elegido (Windows, Linux, AIX, etc.) y en una base de datos soportada (HANA, Oracle, DB2, SQLServer). Sobre estas capas, la aplicación posee su propio sistema de seguri- dad interno basado en autorizacio- nes para realizar ciertas acciones. A ntes de empezar , les propongo un experimento. Si están suscri- tos a boletines de ciberseguridad, revisen los artículos publicados en los últimos años. Podrán compro- bar que muy pocos de ellos están dedicados a la seguridad de los sistemas ERP ( Enterprise Resource Planning ), y menos aún a los sis- temas SAP. Hay centenares de artículos y boletines dedicados a vulnerabilidades en sistemas ope- rativos, routers , dispositivos, aplica- ciones para móvil, bases de datos y servidores web. Considerando la importancia de cada uno de estos componentes, el daño económico y a la imagen que produce un deface o un DoS a un servicio puede ser muy considerable. Sin embargo, el lugar donde reside realmente el corazón de las organizaciones, con los datos de empleados, clien- tes, proveedores, precios, pedidos, pagos bancarios, etc., es en los sistemas ERP, que guardan el teso- ro de la información crítica de la organización. En este caso, el daño es mucho mayor si se produce un robo silencioso de información o un fraude económico que las pérdidas ocasionadas por una caída de ser- vicio puntual en el tiempo. El mayor riesgo posible es que la información crítica de nuestra empresa acabe en poder de terceros.