Español | Deutsch | English

Hito para más seguridad de SAP (ZF Case Study)

octubre 19, 2016 | De Virtual Forge GmbH

Los sistemas SAP están en el punto de mira de los atacantes. ZF Friedrichshafen AG es consciente de ello: la realización de pruebas de penetración sistemáticas ha permitido alcanzar otro hito hacia una gestión exhaustiva de la seguridad de SAP.

ZF Friedrichshafen AG es un grupo tecnológico internacional líder en tecnología motriz y de chasis, así como en tecnología de seguridad activa y pasiva. Como una de las mayores empresas proveedoras del sector de la automoción en todo el mundo, la compañía fundada en 1915 cuenta hoy con más de 138.000 empleados en unos 230 emplazamientos ubicados en 40 países.

ZF depende de la disponibilidad continua de la infraestructura de sistemas SAP que está presente en todo el grupo de empresas y se utiliza en todas las divisiones. Pero, como en toda la economía, también aquí es de temer que los ciber ataques tengan las aplicaciones de SAP como objetivo, ya que contienen información comercial crítica. «Es por esta razón que nos fijamos el objetivo de crear y mantener operativa una infraestructura que detectará y eliminará los posibles puntos débiles de nuestras aplicaciones y sistemas», informa Erkan Erpolat, responsable en ZF de la coordinación global de las pruebas de penetración de SAP y jefe de proyecto en los proyectos internacionales del departamento de seguridad de TI.

Pruebas de caja negra: demasiado superficiales

ZF contrató en un primer momento a consultores especializados cuyo cometido era localizar los puntos débiles de la infraestructura SAP mediante pruebas de penetración de tipo caja negra. En estas pruebas se verifican los sistemas y las aplicaciones sin tener conocimientos internos del código fuente.

Aunque muchas empresas consideran que este procedimiento es realmente comparable al de los atacantes, los expertos en seguridad de SAP señalan que los hackers suelen tener mucho más tiempo para comprometer las aplicaciones que quienes realizan las pruebas de penetración. Además, los autores de los ataques pueden ser miembros de la empresa con conocimientos más que suficientes de los detalles internos. La consecuencia: las pruebas de caja negra pasan por alto sobre todo la existencia de puertas traseras.

Tal y como explica Erkan Erpolat, ZF también ha tenido experiencias similares: «Con los informes finales de las pruebas de caja negra en las manos, comprobamos que los resultados eran insuficientes porque solo se contemplaba la superficie de los sistemas SAP». Aparentemente, lo que les faltó a los consultores fue la suficiente experiencia en torno a SAP para identificar de modo específico las brechas de seguridad del código ABAP y de la configuración del sistema SAP.

Descubrir incluso puertas traseras con el método de caja gris

Esto cambiaba con la intervención de Virtual Forge. ZF ya había colaborado con el proveedor de seguridad de SAP en un proyecto centrado en la creación de directrices de codificación ABAP para los programadores propios. Los amplios conocimientos de Virtual Forge sobre SAP resultaron ventajosos para las pruebas de penetración y ello queda plasmado en los métodos y las herramientas para realizar las pruebas. Virtual Forge lleva a cabo las pruebas de penetración de SAP básicamente según el método de caja gris en el que se combinan pruebas de caja negra y de caja blanca. A diferencia de las pruebas de caja negra, las de caja blanca o estructurales son las pruebas de una aplicación con acceso completo al código fuente. Este es el método adecuado para probar de forma eficiente las puertas traseras sobre todo en el código ABAP propio del cliente y en las funciones complejas. Sin embargo, cabe objetar que tal vez el sistema entero se comporte de manera distinta y se produzca la ocultación de servicios vulnerables, por ejemplo, mediante proxy inverso.

En cambio, el método de caja gris de Virtual Forge elimina las desventajas específicas de las pruebas de caja negra y caja blanca al permitir las pruebas de una aplicación SAP funcional con acceso completo al código fuente. De este modo, quienes realizan las pruebas pueden detectar incluso funciones ocultas como las puertas traseras o las contraseñas incluidas en código fuente. Ello permite identificar tanto las amenazas internas como los vectores de ataque procedentes de internet.

Clara detección de diferencias de calidad

ZF detectó estas ventajas centrales de las pruebas de caja gris ya en el primer intento. «Cuando dejamos que Virtual Forge y otro proveedor de servicios probaran una misma aplicación SAP en paralelo, hubo una clara diferencia de calidad en los resultados», recuerda Erkan Erpolat. «Al tiempo que la solución de análisis de código CodeProfiler de los expertos de Virtual Forge ponía al descubierto bastantes más puntos débiles en nuestro propio código ABAP, otro programa de Virtual Forge, SystemProfiler, nos permitía también identificar de forma específica los riesgos en nuestra configuración del sistema SAP».

Pero el equipo de Virtual Forge no se dio por satisfecho con la presentación de los resultados de las pruebas. Además, los desarrolladores y administradores de SAP en ZF recibieron respaldo con propuestas y medidas de seguridad concretas para eliminar con eficacia y rapidez los puntos débiles detectados. Sobre la base de estas experiencias, Erpolat como experto en seguridad de ZF recomienda no fijarse meramente en que el proveedor de servicios cuente con excelentes conocimientos tanto en el ámbito de sistemas y aplicaciones SAP como en la realización de pruebas de penetración: «Recomiendo que únicamente un proveedor de seguridad que también pueda ayudarle como experto en la eliminación de los puntos débiles existentes realice las pruebas de sus sistemas SAP».

Implementación prevista en todo el grupo de empresas

Una vez concluida la prueba de concepto (PoC por sus siglas en inglés) con las herramientas de seguridad de Virtual Forge, ZF inició en la primavera de 2016 las pruebas experimentales en productivo de la solución CodeProfiler y a finales de este año tendrá lugar la implementación en todo el grupo de empresas. ZF establece con ello un enfoque eficaz para las futuras implementaciones de SAP: de ahora en adelante, cada línea de código ABAP se analizará para detectar posibles brechas de seguridad antes del inicio productivo.   

«Gracias a las pruebas de penetración hemos dado un paso importante hacia el aumento de la seguridad en el entorno de sistemas SAP», concluye Erkan Erpolat. «Entre nuestros administradores y desarrolladores ha aumentado notablemente la sensibilización acerca de este tema y, a la vez, se ha incrementado en gran medida el nivel de seguridad de nuestras aplicaciones SAP». No obstante, los análisis regulares del código ABAP y de las configuraciones de los sistemas SAP solo son uno de los componentes de la gestión exhaustiva de la seguridad de SAP con los que ZF hace frente a las amenazas crecientes y cada vez más sofisticadas.