hacking asap - ausape · las compañías que soportan sus procesos de negocio sobre el sistema sap,...
TRANSCRIPT
Headline Verdana Bold
AUSAPE FORUMMalaga– Junio
Hacking ASAP
2© 2018 Deloitte Advisory, S.L.
Índice
Introducción
Hackers vs Crackers
Vulnerabilidades SAP
Mitigaciones
© 2018 Deloitte Advisory, S.L. 3
Hacking ASAP
Introducción
Las compañías que soportan sus procesos de negocio sobre el sistema SAP, requieren de un adecuado esquema de controles de acceso a fin de evitar situaciones como el uso no autorizado a programas o transacciones del sistema y, como consecuencia de ello, situaciones de fraude interno o errores operativos que puedan afectar al negocio.
Cada vez más las corporaciones tienden a conectar sus servicios a una red pública como es Internet. Pero, la heterogeneidad y dinamismo de las actuales redes de comunicaciones corporativas, así como su rápida capacidad de evolución y de despliegue, implican en ciertas ocasiones una reducción de los controles de seguridad que se les aplica y en ciertas ocasiones un aumento no controlado de los sistemas y servicios que se encuentran expuestos.
“No son un objeto de ataque”
“Solo se accede desde la red interna”
“Los sistemas son configurados seguros por defecto”
4© 2018 Deloitte Advisory, S.L.
Índice
Introducción
Hackers vs Crackers
Vulnerabilidades SAP
Mitigaciones
© 2018 Deloitte Advisory, S.L. 5
•¿Qué es? Un hacker, se describe como una personaamante de los ordenadores con conocimientos altos enuna o más áreas de la ciencia de la informática,especialmente en seguridad y programación. Endefinitiva, se trata de usuarios con conocimientos muyavanzados en el funcionamiento interno de losordenadores y redes informáticas.
•¿Qué hace exactamente un hacker?Estos usuarios suelen ser muchas veces aficionados dela seguridad en las redes, y tratan de averiguar de quéforma se podría acceder a una red cerrada paraposteriormente arreglar ese error del sistema. Unhacker también puede desarrollar soluciones contravirus informáticos y programas que distribuyelibremente.
• ¿Qué son? Sujetos con conocimientos (no siemprealtos) de redes e informática que persiguenobjetivos ilegales, como el robo de contraseñas,destrozar la seguridad de una red o esparcir unvirus informático a un gran número deordenadores.
• Los crackers pueden hacer todo su trabajobuscando tanto recompensas económicas(sustracción de dinero de tarjetas de crédito,estafas online...) como el placer de creersesuperiores al resto de la humanidad, o incluso pormorbo.
Hacking ASAP
Hackers vs Crackers
6© 2018 Deloitte Advisory, S.L.
Índice
Introducción
Hackers vs Crackers
Vulnerabilidades SAP
Mitigaciones
© 2018 Deloitte Advisory, S.L. 7
Hacking ASAP
Vulnerabilidades SAP
A continuación se indican algunas de las vulnerabilidades más comunes durante los últimos años y las plataformas
afectadas:
c
I
• Cross-site Scripting
• Acceso sin autorización
• Local file inclusión
• Problemas de configuración
• Inyección SQL
• Fuga de información
• Cross-site request forgery
• Denegación de servicio
• Inyección de código
• Credenciales hardcodeadas
• Otros
© 2018 Deloitte Advisory, S.L. 88
Hacking ASAP
Shodan
© 2018 Deloitte Advisory, S.L. 99
Hacking ASAP
Remote Code Execution
© 2018 Deloitte Advisory, S.L. 1010
Listamos los procesos del
sistema
Listamos las IPS del sistema
Hacking ASAP
Remote Code Execution
11© 2018 Deloitte Advisory, S.L.
Índice
Introducción
Hackers vs Crackers
Vulnerabilidades SAP
Mitigaciones
© 2018 Deloitte Advisory, S.L. 12
Hacking ASAP
Mitigaciones
Control de accesos
• Parámetros de configuración de las contraseñas.
• Acceso a los objetos críticos de SAP.
• Acceso de ejecutar transacciones críticas.
• Revisión de los perfiles de seguridad.
• Revisión de la configuración de los perfiles nativos.
• Revisión de perfiles de usuarios y usuarios genéricos.
• Control de acceso al sistema operativo y BBDD.
• Gestión de privilegios de seguridad.
Revisión de la segregación de funciones
• Identificar los niveles jerárquicos o cargos de cada unidad de negocio.
• Identificación de los controles implementados automáticos y manuales en cada proceso.
• Identificar por cada actividad de negocio el nivel de capacidad (ability level).
• Definir la función (Functionlevel) o TCODE en SAP
Gestión de cambios a programas
• Listado de Key Users para la aprobación de peticiones de cambio.
• Monitorización y restricción de la capacidad para desbloquear el ambiente de producción y realizar cambios de forma directa (incluido los cambios a las tablas y diccionario de SAP).
• Segregación de funciones en la gestión de cambios.
• Usuarios de programación en producción.
Operaciones informáticas
• Controles de acceso de modificación de trabajos por lotes e interfaces.
• Controles para la realización de las copias de seguridad.
• Gestión de incidencias de seguridad.
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited (“DTTL”) (private company limited by guarantee, de acuerdo con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página http://www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.
Deloitte presta servicios de auditoría, consultoría, legal, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de 244.000 profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto.
Esta publicación es para distribución interna y uso exclusivo entre el personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus entidades asociadas (conjuntamente, la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.
© 2018 Deloitte Advisory, S.L.