Casi todos los sistemas SAP vulnerables

Share this…

Más del 95 por ciento de los sistemas SAP están expuestos a  que podrían permitir a un atacante comprometer los datos y procesos de negocio de una empresa, de acuerdo a una nueva investigación de proveedor de soluciones de SAP.

Muchas de estas vulnerabilidades han existido por años y tal vez falta de aplicación de parches puede ser el problema, sin embargo, dado que en 2014, SAP publicó 391 parches de seguridad, con un promedio de 30 parches por mes. Casi 50 por ciento de esos parches fueron considerados de “alta prioridad”.

Debido a que los sistemas SAP son importante para las funciones esenciales de la empresa. Pero según profesionales de SAP los sistemas son muy complicados y aplicar parches puede causar que el sistema puede fallar. Por eso el trabajo es más fácil para muchos profesionales en mantenerlos sin parchear.

“Desde nuestra perspectiva, los profesionales de seguridad de TI no deben arreglar todo”, dijo Núñez. “Cuando realizan su primera evaluación de vulnerabilidades, ellos recibirán un informe con vulnerabilidades. Deben analizar esas vulnerabilidades y priorizar en base a la probabilidad de que alguien podría explotarlas, criticidad de la vulnerabilidad y disponibilidad de parche “.

Los vectores de ataque cibernético más comunes, identificados, incluyen ataques de portales de los clientes y proveedores, ataques directos a través de protocolos propietarios de SAP.

El ataque más común, el ataque portal del cliente y proveedor, explota varias vulnerabilidades críticas que permiten al hacker para acceder a datos confidenciales y plataformas de integración de procesos conectados.

El segundo ataque más común a través de protocolos propietarios de SAP se lleva a cabo mediante la ejecución de comandos del sistema operativo con los privilegios de los administradores de SAP y la explotación de una vulnerabilidad en el SAP RFC Gateway.

Para evitar estos ataques, las empresas deben tener políticas de seguridad y sistemas para evaluación de los riesgos de protección de datos empresariales.

 

Fuente:scmagazine