En el último tiempo, según reportes de empresas de ciberseguridad como Check Point y Kaspersky, los intentos de ciberataques en Chile han tenido un importante aumento (ver nota de El Mostrador). Entre los afectados por este tipo de ataques se encuentran importantes organizaciones, tales como el Sernac, el Estado Mayor Conjunto de la Defensa Nacional, BancoEstado, la Corporación Administrativa del Poder Judicial y, recientemente, Mercado Público. En este último caso, la plataforma web de Chilecompras llevaba ya alrededor de diez días sin poder operar (ver nota de Interferencia).
Los sistemas SAP son, en general, sistemas muy críticos y, por lo tanto, muy apetecidos para ataques tipo ransomware; además que suelen manejar datos muy valiosos. Entre las potenciales amenazas no solo se deben considerar los ciberataques externos, sino que también los intentos de fraude o filtraciones de información, los que normalmente provienen desde el interior de las empresas o instituciones. En este contexto, en su Trust Center SAP fomenta diferentes acciones para hacerse cargo no solo de la seguridad, sino también de la privacidad de los datos, del compliance, y de la transparencia.
Ante el aumento de las amenazas, hoy es necesario proteger la continuidad operacional de los sistemas SAP y los datos que residen en ellos con múltiples medidas adicionales de seguridad, de modo de cubrir todos los flancos expuestos —la superficie de ataque— y mitigar los riesgos no eliminables con todas estas capas de protección.
La seguridad SAP tradicional
Hasta ahora, la seguridad de los sistemas SAP se concentraba principalmente en tres ámbitos:
- Seguridad de la infraestructura, que incluye datacenter, servidores, almacenamiento, etc.
- Seguridad de las comunicaciones, principalmente VPNs y firewalls, y
- Seguridad de acceso SAP, a través de credenciales y autorizaciones, con el tradicional sistema de roles y perfiles.
Dada la nueva naturaleza de los ataques, estas medidas de seguridad tradicionales no son suficientes para velar por los sistemas SAP y sus datos. En la encuesta de SAP Insider “Amenazas de ciberseguridad a los sistemas SAP” de este año, se pidió a los encuestados que clasificaran las principales amenazas de ciberseguridad a sus sistemas SAP, de mayor a menor. Los ataques de ransomware (secuestro de datos), los sistemas sin parches y el compromiso de credenciales se clasificaron como las más importantes a los sistemas, al igual que el año pasado. El crecimiento continuo de la migración a la nube, la integración, el aumento de datos, la virtualización, el acceso a dispositivos móviles y el Internet de las cosas (IoT) han hecho que la seguridad de estas conexiones sea un elemento crítico de la ciberseguridad. Las vulnerabilidades debidas a sistemas y conexiones no seguras pueden ser un canal directo a SAP para ransomware, malware (software malicioso) y otros ataques.
Las nuevas necesidades de seguridad para SAP
Si observamos las diferentes capas que conforman la seguridad de un sistema SAP (ver figura), podemos ver lo siguiente:
- 1) La seguridad de las comunicaciones tradicionalmente se confía a un esquema de enlaces privados y firewalls, o al uso de VPNs. Si bien estas soluciones proveen un nivel de seguridad básico, no son suficientes y se requiere de otras medidas para completar un rango aceptable (application firewalls, proxies, etc.). La tendencia actual es moverse hacia un modelo de seguridad Zero Trust, como muestra Gartner en su reporte Zero Trust Architecture and Solutions, donde predice que ya para este año 2023, el 60% de las organizaciones usarán el modelo de seguridad Zero Trust, en lugar de VPNs (ver Seguridad Zero Trust: qué es y por qué es importante).
- 2) La seguridad de la infraestructura debería estar bien cubierta por el proveedor de hosting, ya sea con un datacenter tradicional o con un cloud público. En el caso del cloud público la responsabilidad está compartida entre el cloud mismo, y el cliente o el proveedor del hosting en el cloud. Aquí es muy importante contar con la experiencia de un proveedor especializado, ojalá certificado por el mismo cloud. (ver nota Nuestras soluciones de ciberseguridad en la operación cloud de SAP).
- 3) La seguridad dentro de las propias aplicaciones SAP debería cubrir al menos lo siguiente:
- Notas de seguridad SAP, y su aplicación permanente, ojalá como parte de un proceso mayor de gestión de vulnerabilidades;
- Seguridad de acceso, credenciales seguras, protección de claves, etc.;
- Roles y perfiles SAP, incluyendo un adecuado proceso de solicitudes y autorizaciones, y un análisis y mitigación de riesgos permanente;
Seguridad en el Código Custom (Z), basado en buenas prácticas, análisis y auditoría; y
- Detección de amenazas, en la forma de actividades sospechosas dentro de la aplicación SAP.
Las nuevas soluciones de seguridad avanzada para SAP
El contexto actual de amenazas ha motivado la aparición de diversas herramientas para proveer seguridad adicional a los entornos de sistemas SAP. Sin embargo, estas no constituyen una solución por sí solas. Se requiere de un conocimiento técnico de los conceptos de seguridad asociados, además de la herramienta misma. También se necesita de procesos permanentes y estructurados de monitoreo, detección, notificación y respuestas a los incidentes de seguridad.
Por esta razón, resultan más efectivas las soluciones integrales a las diferentes vulnerabilidades, en la forma de servicios entregados por un proveedor especializado. Entre estas soluciones podemos destacar las siguientes:
- Servicio de Acceso Zero Trust, que incluye la implementación de la solución de comunicaciones seguras, y el soporte y operación continua de la solución. Ver Seguridad Zero Trust: qué es y por qué es importante.
- Servicio de Notas de Seguridad SAP un servicio permanente de recopilación de información de notas de seguridad SAP, análisis de aplicabilidad, planificación y aplicación de las notas. Ver Notas de Seguridad SAP – Cómo mantenerse al día
- Servicio de Detección de Amenazas SAP, un servicio permanente de monitoreo y detección de actividades sospechosas en SAP, incluyendo respuestas estructuradas manuales y automáticas para los casos más críticos.
- Servicio de Segregación de Funciones SAP, incluyendo el análisis inicial de los riesgos asociados, su remediación o mitigación, y un servicio permanente de gestión de los requerimientos de cambios en los accesos, y el análisis y mitigación de los riesgos asociados.
En Novis tenemos servicios y nuevas opciones de seguridad avanzada para los sistemas SAP, de los cuales mostraremos más detalles en posteriores entregas. Para más información nuestros servicios le invitamos a contactarnos.
Autor: Glen Canessa.
Notas relacionadas: