Krypton Solid

La última tecnología en raciones de 5 minutos

Los riesgos de seguridad de SAP necesitan más atención, pero la aplicación de parches es un desafío

Parchear temprano, parchear a menudo.

Ese es el consejo de los expertos para combatir los riesgos de seguridad de SAP, a pesar de que las empresas luchan por parchear sus sistemas de componentes centrales de SAP ERP. Un desafío es la amenaza real de perder la funcionalidad de algún código personalizado, pero las amenazas a la seguridad de SAP son mucho más perjudiciales para los sistemas y para las empresas en general, según los expertos.

No es ningún secreto que los sistemas ERP son cada vez más atractivos para los piratas informáticos. La apertura de los sistemas ERP a terceros a través de API crea nuevas oportunidades para actores maliciosos. Y teniendo en cuenta los datos valiosos y ricos almacenados en los sistemas ERP, no es de extrañar que los piratas informáticos quieran acceder. El problema es tan grave que el Departamento de Seguridad Nacional de EE. UU. Emitió una advertencia para los administradores de TI que incluye recomendaciones para proteger sus sistemas ERP, incluidos los sistemas SAP.

Los riesgos de seguridad de SAP incluyen un aumento de los ataques

«Vemos que SAP en general se dirige más como parte de las campañas», dijo Juan Pablo Perez-Etchegoyen, director de tecnología de Onapsis Inc., una empresa con sede en Boston que brinda servicios de seguridad para entornos ERP, incluidos SAP y Oracle.

Onapsis publicó un informe, «Aplicaciones ERP bajo fuego: cómo los ciberataques apuntan a las joyas de la corona», el año pasado junto con la firma de gestión de riesgos digitales Digital Shadows. El informe detalla algunos de los riesgos de seguridad que enfrentan SAP y otros sistemas ERP.

Si bien es posible que no haya habido un aumento en los ataques al Componente Central de SAP ERP (ECC) en particular, las aplicaciones de SAP definitivamente están recibiendo más atención de los ciberatacantes, dijo Perez-Etchegoyen. Por ejemplo, Onapsis ha visto a muchos actores de amenazas utilizar SAP Portal, que normalmente se utiliza como interfaz para SAP ECC. Ese componente se ha aprovechado como parte de una pila de ECC Java.

«Sabemos que los estados-nación lo están usando y hemos visto rastros de explotación en innumerables casos», dijo Pérez-Etchegoyen.

Esperar para parchear puede ser demasiado arriesgado

SAP lanza parches todos los meses para corregir las vulnerabilidades de su software. Sin embargo, las empresas que esperan para parchear podrían dejar la puerta abierta para los actores de amenazas.

Realmente es una carrera. Cuanto antes pueda parchear, mejor.

Juan Pablo Pérez-EtchegoyenDirector de tecnología, Onapsis

En SAP ECC, la mayoría de la lógica y los componentes de los parches están en el nivel ABAP, y los piratas informáticos pueden leer de inmediato las actualizaciones y derivar un exploit del parche, según Perez-Etchegoyen. La rapidez con que esto suceda depende de los recursos disponibles para los actores de la amenaza.

«Es realmente una carrera», dijo. «Cuanto antes pueda parchear, mejor».

Tan pronto como salga el parche, un atacante puede convertirlo en un arma, aunque esto no se limita estrictamente a SAP y se aplica a cualquier software o sistema operativo, dijo Perez-Etchegoyen. No se trata de si es posible o no utilizar parches con fines nefastos, sino de cuándo sucederá. Desde una perspectiva de riesgo, las organizaciones deben aplicar un parche inmediatamente cuando se lanza, ya que el parche podría convertirse en un arma en cualquier momento, dijo.

Reducir la inversión en SAP ECC puede generar vulnerabilidades

La aplicación inmediata de parches es aún más crítica si SAP no está invirtiendo en su producto ECC tanto como antes, lo que podría ser el caso a medida que la fecha de caducidad de 2025 parece más cercana en el horizonte. Rick Fricchione, vicepresidente de la línea de servicios de aplicaciones empresariales de IBM, dijo que a algunos de sus clientes les preocupa que SAP no se mantenga al día con los riesgos potenciales ahora que el tiempo de SAP ECC es limitado.

«No tenemos medidas cuantitativas para decir [attacks on SAP ECC] han aumentado, pero hay más preocupación por parte de los clientes simplemente porque sienten una caída en la ingeniería en una plataforma que tiene un reloj en marcha «, dijo.

Además, aunque SAP tiene un día de parche mensual, a veces la empresa no es tan disciplinada con sus prácticas de lanzamiento como podría serlo, según Fricchione. A veces, sus cambios funcionales están empaquetados en parches de soporte, lo que complica el proceso de parcheo y requiere que los clientes se involucren en pruebas de regresión funcional.

«Los clientes tienen algunas preocupaciones legítimas sobre las diferencias funcionales que ocurren después de aplicar los paquetes de soporte y las notas de OSS», dijo.

Quedarse atrás en el parcheo no es infrecuente

Como resultado de la complejidad de los sistemas ERP y las grandes personalizaciones que implementan muchas empresas para obtener la funcionalidad que necesitan, muchas empresas se retrasan en la aplicación de parches o quedan fuera de la ventana de tiempo antes de que un parche se convierta en arma, según Perez-Etchegoyen.

Afortunadamente, la mayoría de las organizaciones maduras tienen un proceso para priorizar el parche, que es la clave para mitigar el riesgo, dijo Perez-Etchegoyen. Las empresas deben identificar su tolerancia al riesgo, lo que se debe parchear en este momento y luego resolver ese riesgo con parches.

«Lo más exitoso que hemos visto es implementar ese proceso: comenzar a gobernar la administración de parches en las aplicaciones ERP», dijo.

Deja un comentario

También te puede interesar...

Términos matemáticos simples para bonos de cupón fijo

Los bonos generalmente son simplemente instrumentos de deuda que permiten a las empresas o al gobierno financiar sus necesidades de capital al encontrar inversionistas que aceptan prestarles una cantidad a cambio de intereses por un

Oracle cumple con las estimaciones | Krypton Solid

Oracle superó las estimaciones de los analistas el lunes, ya que los ingresos del cuarto trimestre cayeron ligeramente con respecto al año anterior. El gigante de las bases de datos obtuvo una ganancia en el

¿Debería quedarse en un hotel?

El verano (extraoficialmente, al menos) finalmente está aquí, una época en la que los hoteles generalmente están llenos de capacidad, y los estadounidenses huyen en busca de escapadas tan esperadas. No este año. A medida

Cómo activar la tarjeta Premium | Krypton Solid

Después de leer mi guía sobre cómo suscribirse a Mediaset Premium, decidió suscribirse a la televisión de pago Biscione y disfrutar de su contenido relacionado con deportes, películas y series de televisión. Has activado con

Definición de auditoría de correspondencia

¿Qué es una auditoría de correo? El término auditoría por correspondencia se refiere a una auditoría fiscal realizada por correo o por teléfono por el Servicio de Rentas Internas (IRS). Las auditorías de correspondencia normalmente

Las 6 mejores clases de comercio de divisas en línea de 2022

SeñalesForex.com ForexSignals.com es una oferta completamente completa que incluye un curso educativo en profundidad, acceso a herramientas comerciales profesionales y orientación profesional continua, completa con un período de recuperación de siete días si no está

Red Hat: Microsoft, Ubuntu sin competencia

Red Hat no está perdiendo el sueño debido a la inminente entrada de Microsoft en el espacio informático del clúster. En una entrevista con Krypton Solid Asia, Shane Owenby, gerente regional de Red Hat para

OnTheRun Tablet PC Show n. ° 25

Escucha aqui (MP3, 15,1 MB, 44 minutos) o Suscríbete al programa con este enlace (RSS) James Kendrick y estoy de vuelta con el programa # 25! Felicitaciones a Josh y Heather Einstein por el nacimiento

Introducción al CAPM internacional

Invertir en cualquier activo tiene riesgos que pueden minimizarse utilizando instrumentos financieros para determinar los rendimientos esperados. El Modelo de Precios de Activos de Capital (CAPM) es una de estas herramientas. Este modelo calcula la