Headline Verdana Bold

AUSAPE FORUMMalaga– Junio

Hacking ASAP

2© 2018 Deloitte Advisory, S.L.

Índice

Introducción

Hackers vs Crackers

Vulnerabilidades SAP

Mitigaciones

© 2018 Deloitte Advisory, S.L. 3

Hacking ASAP

Introducción

Las compañías que soportan sus procesos de negocio sobre el sistema SAP, requieren de un adecuado esquema de controles de acceso a fin de evitar situaciones como el uso no autorizado a programas o transacciones del sistema y, como consecuencia de ello, situaciones de fraude interno o errores operativos que puedan afectar al negocio.

Cada vez más las corporaciones tienden a conectar sus servicios a una red pública como es Internet. Pero, la heterogeneidad y dinamismo de las actuales redes de comunicaciones corporativas, así como su rápida capacidad de evolución y de despliegue, implican en ciertas ocasiones una reducción de los controles de seguridad que se les aplica y en ciertas ocasiones un aumento no controlado de los sistemas y servicios que se encuentran expuestos.

“No son un objeto de ataque”

“Solo se accede desde la red interna”

“Los sistemas son configurados seguros por defecto”

4© 2018 Deloitte Advisory, S.L.

Índice

Introducción

Hackers vs Crackers

Vulnerabilidades SAP

Mitigaciones

© 2018 Deloitte Advisory, S.L. 5

•¿Qué es? Un hacker, se describe como una personaamante de los ordenadores con conocimientos altos enuna o más áreas de la ciencia de la informática,especialmente en seguridad y programación. Endefinitiva, se trata de usuarios con conocimientos muyavanzados en el funcionamiento interno de losordenadores y redes informáticas.

•¿Qué hace exactamente un hacker?Estos usuarios suelen ser muchas veces aficionados dela seguridad en las redes, y tratan de averiguar de quéforma se podría acceder a una red cerrada paraposteriormente arreglar ese error del sistema. Unhacker también puede desarrollar soluciones contravirus informáticos y programas que distribuyelibremente.

• ¿Qué son? Sujetos con conocimientos (no siemprealtos) de redes e informática que persiguenobjetivos ilegales, como el robo de contraseñas,destrozar la seguridad de una red o esparcir unvirus informático a un gran número deordenadores.

• Los crackers pueden hacer todo su trabajobuscando tanto recompensas económicas(sustracción de dinero de tarjetas de crédito,estafas online...) como el placer de creersesuperiores al resto de la humanidad, o incluso pormorbo.

Hacking ASAP

Hackers vs Crackers

6© 2018 Deloitte Advisory, S.L.

Índice

Introducción

Hackers vs Crackers

Vulnerabilidades SAP

Mitigaciones

© 2018 Deloitte Advisory, S.L. 7

Hacking ASAP

Vulnerabilidades SAP

A continuación se indican algunas de las vulnerabilidades más comunes durante los últimos años y las plataformas

afectadas:

c

I

• Cross-site Scripting

• Acceso sin autorización

• Local file inclusión

• Problemas de configuración

• Inyección SQL

• Fuga de información

• Cross-site request forgery

• Denegación de servicio

• Inyección de código

• Credenciales hardcodeadas

• Otros

© 2018 Deloitte Advisory, S.L. 88

Hacking ASAP

Shodan

© 2018 Deloitte Advisory, S.L. 99

Hacking ASAP

Remote Code Execution

© 2018 Deloitte Advisory, S.L. 1010

Listamos los procesos del

sistema

Listamos las IPS del sistema

Hacking ASAP

Remote Code Execution

11© 2018 Deloitte Advisory, S.L.

Índice

Introducción

Hackers vs Crackers

Vulnerabilidades SAP

Mitigaciones

© 2018 Deloitte Advisory, S.L. 12

Hacking ASAP

Mitigaciones

Control de accesos

• Parámetros de configuración de las contraseñas.

• Acceso a los objetos críticos de SAP.

• Acceso de ejecutar transacciones críticas.

• Revisión de los perfiles de seguridad.

• Revisión de la configuración de los perfiles nativos.

• Revisión de perfiles de usuarios y usuarios genéricos.

• Control de acceso al sistema operativo y BBDD.

• Gestión de privilegios de seguridad.

Revisión de la segregación de funciones

• Identificar los niveles jerárquicos o cargos de cada unidad de negocio.

• Identificación de los controles implementados automáticos y manuales en cada proceso.

• Identificar por cada actividad de negocio el nivel de capacidad (ability level).

• Definir la función (Functionlevel) o TCODE en SAP

Gestión de cambios a programas

• Listado de Key Users para la aprobación de peticiones de cambio.

• Monitorización y restricción de la capacidad para desbloquear el ambiente de producción y realizar cambios de forma directa (incluido los cambios a las tablas y diccionario de SAP).

• Segregación de funciones en la gestión de cambios.

• Usuarios de programación en producción.

Operaciones informáticas

• Controles de acceso de modificación de trabajos por lotes e interfaces.

• Controles para la realización de las copias de seguridad.

• Gestión de incidencias de seguridad.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited (“DTTL”) (private company limited by guarantee, de acuerdo con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página http://www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.

Deloitte presta servicios de auditoría, consultoría, legal, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de 244.000 profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto.

Esta publicación es para distribución interna y uso exclusivo entre el personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus entidades asociadas (conjuntamente, la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.

© 2018 Deloitte Advisory, S.L.