Kk Muy Interesante No Se de Donce
2
31 MAY 2010 Seguridad SAP ERP SAP es el ERP más popular en el mundo y suele sustentar el núcleo del negocio de muchas empresas. Por eso garantizar su seguridad debe ser un objetivo prioritario para ellas. Para cubrir por completo todas las capas lógicas que conforman la seguridad de un sistema SAP, necesitamos tener en cuenta los siguientes procesos: 1) Capa de negocio SAP: Auditoria de políticas de asignación de privilegios (usuarios, perfiles, authorization objects). 2) Capa tecnológica SAP: Análisis de vulnerabilidades de los servicios SAP (saprouter, sap-dispatcher, sap-gateway, sap-message-server, sap-igs, sap- portal) . 3) Base de Datos: Análisis de vulnerabilidades a nivel de BBDD. 4) Sistema Operativo: Análisis de vulnerabilidades a nivel de sistemas y redes. Tradicionalmente la capa tecnológica de SAP ha sido la menos tenida en cuenta por la mayoría de profesionales: Los consultores SAP, normalmente se limitaban a auditar solamente la seguridad de la capa de negocio, ignorando la base tecnológica que toda gran aplicación tiene. Los auditores de seguridad, normalmente se limitaban a analizar la plataforma (sistema operativo y base de datos) como si de una auditoria
-
Upload
hire-itskills -
Category
Documents
-
view
217 -
download
4
description
clase interesante-
Transcript of Kk Muy Interesante No Se de Donce
31MAY2010
Seguridad SAP ERPSAP es el ERP más popular en el mundo y suele sustentar el núcleo del negocio de muchas empresas. Por eso garantizar su seguridad debe ser un objetivo prioritario para ellas.
Para cubrir por completo todas las capas lógicas que conforman la seguridad de un sistema SAP, necesitamos tener en cuenta los siguientes procesos:
1) Capa de negocio SAP: Auditoria de políticas de asignación de privilegios (usuarios, perfiles, authorization objects).
2) Capa tecnológica SAP: Análisis de vulnerabilidades de los servicios SAP (saprouter, sap-dispatcher, sap-gateway, sap-message-server, sap-igs, sap-portal) .
3) Base de Datos: Análisis de vulnerabilidades a nivel de BBDD.
4) Sistema Operativo: Análisis de vulnerabilidades a nivel de sistemas y redes.
Tradicionalmente la capa tecnológica de SAP ha sido la menos tenida en cuenta por la mayoría de profesionales:
Los consultores SAP, normalmente se limitaban a auditar solamente la seguridad de la capa de negocio, ignorando la base tecnológica que toda gran aplicación tiene. Los auditores de seguridad, normalmente se limitaban a analizar la plataforma (sistema operativo y base de datos) como si de una auditoria normal se tratase. Sin tener en cuenta la gran complejidad que tiene un sistema SAP.
El problema es que una vulnerabilidad grave en cualquiera de las capas compromete completamente la integridad del sistema SAP en su conjunto.
Por ejemplo si se produce un compromiso a nivel de sistema operativo, el atacante podría modificar cualquiera de las capas superiores y conseguir acceso de administrador.
Si se compromete la base de datos. La configuración de seguridad del entorno SAP queda también
comprometida ya que se encuentra almacenada en ella.
Si la capa tecnológica no se encuentra protegida, cualquier usuario de la red podría llegar a conseguir privilegios de administrador en el sistema SAP y tomar control del mismo.
Por lo tanto, es imprescindible que una auditoria de seguridad de un sistema SAP cubra los cuatro niveles.
Desde el departamento de Auditorias de S21SEC estamos intentando concienciar a nuestros clientes de lo importante que es realizar la auditoria de sus sistemas SAP de esta forma. Tendiendo a separar la auditoria de SAP en si misma de otras auditorias más generales que normalmente no tienen el alcance suficiente.
Ramón Pinuaga CascalesDept. Auditoria S21sec
