• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Novis Euforia

Novis Euforia

Un nuevo proyecto
 con más de 20 años de experiencia en tecnología SAP

  • Inicio
  • Sobre Novis
  • Servicios
    • S4 Conversion
    • Suite On Hana
    • Cloud Adoption & Operations
    • Landscape Transformation
    • SAP Licensing
    • SAP DevOps
    • SAP BTP
    • Cybersecurity for SAP
    • SAP Managed Services
  • Soluciones
    • Chameleon – Multicloud ArchiveLink
    • euKaria – Automatización en la Seguridad SAP
    • euGenie – Solución RPA para Automatización de tareas IT enfocada a Operaciones SAP
  • Noticias
  • Contacto
  • We’re Hiring
  • English

Hacking Ético en Entornos SAP

03/11/2021

Hay muchas razones por las que SAP merece un trato especial en términos de seguridad. Algunas de ellas son:

  • Una extensa red de consultores expertos. SAP siempre ha contado con un amplio entorno de partners, especializados en los diferentes módulos funcionales y áreas técnicas. Este enfoque permitió a SAP convertirse en el líder absoluto de ERP en todo el mundo, pero eso tiene un precio en seguridad: la arquitectura interna de SAP es bien conocida y hay mucha información detallada disponible. Un buen consultor de SAP puede convertirse fácilmente en un peligroso black-hat.
  • Muchos usuarios con diferentes niveles de acceso. Cuando se implementa un ERP de SAP en una empresa, normalmente muchos usuarios tienen derecho a acceder a él en diferentes niveles: desde gerentes financieros hasta operarios, desde ingenieros de TI hasta becarios, un porcentaje relevante de empleados o trabajadores externos pueden ser usuarios de SAP, lo que aumenta el riesgo de hackeo interno. Este hecho es aún más peligroso combinado con el siguiente:
  • Una estructura de autorizaciones compleja, no siempre implementada correctamente. Normalmente, una instalación inicial de SAP incluye un adecuado diseño de roles y perfiles, lo que determina el control de acceso a diferentes funcionalidades y ámbitos organizacionales. Pero a lo largo de los años, las organizaciones cambian y los ERP evolucionan, por lo que no es raro que, después de algunos años, la estructura de autorización contenga agujeros de seguridad. Un empleado desleal con buenas habilidades en SAP puede descubrir esos agujeros y utilizarlos. Además, un hacker puede aprovecharlo para aumentar los privilegios en un ataque.
  • Dificultad de actualización: no es técnicamente fácil mantener actualizado SAP ERP con parches de seguridad, por lo que muchas implementaciones mantienen las vulnerabilidades sin corregir durante largos períodos después de que fueron descubiertas.

Por encima de todo, hackear un sistema SAP puede resultar muy interesante para un black-hat, por la naturaleza de la información almacenada en él: datos financieros, información confidencial de clientes, proveedores y empleados, procedimientos de producción …

Por lo tanto, está claro que debemos tener especial cuidado en proteger nuestro entorno SAP, y el hacking ético es una de las herramientas más poderosas para hacerlo, pero como dijimos, SAP merece un tratamiento especial, por lo que una prueba de penetración en un sistema SAP. tiene también algunas características específicas:

  • Como cualquier otro proyecto de SAP, el hacking ético debe ser realizado por hackers certificados que también sean partners de SAP. SAP proporciona a sus partners acceso a parches y notas de seguridad, así como un extenso material para crear entornos sandbox y probar vulnerabilidades.
  • El pentest interno es muy importante, debido al riesgo ya explicado de hackers internos, así como a la vulnerabilidad a la ingeniería social.
  • Es imprescindible una revisión profunda de los roles y perfiles de autorización. Una definición débil de roles hará que la escalada de permisos sea muy fácil, lo que, junto con el riesgo de hackeo interno, resulta una combinación peligrosa
  • Los sistemas SAP son complejos y los administradores del sistema no siempre están al tanto de las funcionalidades en ejecución. Por lo tanto, el pentesting de caja blanca debe tratarse siempre como caja gris, yendo más allá de la información proporcionada por los administradores.
  • Además de las herramientas pentest habituales, se requieren algunos scripts ad-hoc, enfocados en las vulnerabilidades específicas. P.ej. en la siguiente imagen, se ha ejecutado un script de Santa Marta AB en un sistema SAP de pruebas, para encontrar usuarios accesibles y detectar sus permisos. En el ejemplo, el script ha encontrado dos usuarios estándar con amplios permisos, que mantienen sus contraseñas originales. Ambos usuarios tienen también la capacidad de crear nuevos usuarios, lo que es útil para mantener el acceso y cubrir pistas.   

En Novis Euforia podemos ayudarte en la búsqueda de vulnerabilidades de tu sistema SAP, algo que puedes compaginar con tu camino hacia S4.

Primary Sidebar

Servicios

S4 Conversion

Cloud Adoption & Operations

Landscape Transformation

SAP DevOps

Cybersecurity for SAP

SAP Managed Services

Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?

SUSCRIBIRSE

Footer

Novis Euforia

Calle de Martínez Villergas, 49, Edificio V, Planta 1, 28027 Madrid

CONTACTAR

Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?

SUSCRIBIRSE

Redes sociales

  • Facebook
  • LinkedIn
  • Twitter
  • Política de Privacidad
  • Política de Cookies

Copyright Novis Euforia 2022

Usamos cookies para mejorar tu experiencia en la web. Si lo deseas puedes revisar nuestra política de cookies. ACEPTAR
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Siempre activado
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
GUARDAR Y ACEPTAR
Suscribirse a la Newsletter

Generamos contenido de alto valor alrededor de SAP. ¿Quieres recibirlo?