¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

Una nueva investigación de amenazas confirma que los ciberatacantes están explotando las aplicaciones ERP y expandiendo sus operaciones para enfocarse en activos de alto valor.

La investigación realizada por las empresas Digital Shadows y Onapsis, revela evidencia de que las aplicaciones críticas para el negocio que ejecutan las organizaciones más grandes del mundo están siendo atacadas.

El informe muestra un aumento de ciberataques en aplicaciones de ERP ampliamente utilizadas como SAP y Oracle, que actualmente tienen un total combinado de 9.000 vulnerabilidades de seguridad del ERP conocidas, y también destaca un aumento en los ataques a estos sistemas por parte de ciberdelincuentes.

Los ataques a las aplicaciones ERP incluyen debilitación y denegación de servicio distribuidos (DDoS) destinados a interrumpir las operaciones de negocios: una convergencia de amenazas, según el informe, que pone a miles de organizaciones y sus joyas de la corona directamente en riesgo de espionaje, sabotaje y fraude financiero.

En mayo de 2016, US-Cert ( U.S. Department of Homeland Security’s Computer Emergency Response Team) emitió una alerta informando sobre una amenaza significativa que incluía la explotación de 36 organizaciones globales a través del abuso de una vulnerabilidad de cinco años en aplicaciones SAP.

En julio de 2017, Neil MacDonald, distinguido analista de Gartner, predijo que, a medida que los atacantes con motivación financiera dirijan su atención hacia la capa de aplicaciones que están en la cima de la tecnología, las aplicaciones de negocios como ERP, CRM y recursos humanos se convertirían en objetivos atractivos. “En muchas organizaciones, la aplicación es mantenida por un equipo completamente separado y la seguridad del ERP no ha sido una alta prioridad. Como resultado, los sistemas a menudo se dejan sin parchar durante años en nombre de la disponibilidad operacional”, escribió.

La nueva investigación muestra que las organizaciones cibercriminales están explotando activamente aplicaciones ERP utilizando vulnerabilidades conocidas y apuntando a activos de alto valor como SAP Hana. Según el informe, ha habido un aumento del 100% en el número de exploits disponibles públicamente para las aplicaciones ERP de SAP y Oracle en los últimos tres años, y un aumento del 160% en la actividad y el interés en vulnerabilidades específicas de ERP de 2016 a 2017.

Se están desarrollando kits de malware conocidos como Dridex para robar credenciales de usuario y datos de aplicaciones ERP detrás del firewall. Los terceros y los empleados están exponiendo información que puede proporcionar un alto valor a los actores sofisticados, advierte el informe. Los investigadores descubrieron 545 archivos SAP expuestos públicamente debido a una mala configuración, que proporciona información valiosa para que los atacantes localicen archivos confidenciales en las redes de las organizaciones.

SAP, cuyo software actúa como eje corporativo para muchas multinacionales y que está implementado en el 87 por ciento de las mejores 2000 empresas globales, reveló la vulnerabilidad en 2010 y ha ofrecido parches de software para corregir el error. La compañía emitió una declaración de que la característica vulnerable se corrigió cuando la empresa presentó la actualización del software hace seis años. “Todas las aplicaciones SAP lanzadas desde entonces están libres de esta vulnerabilidad”, dijo la compañía en un comunicado enviado por correo electrónico.

Sin embargo, reconoció que se sabía que estos cambios rompían o desactivaban desarrollos de software personalizados que muchos clientes habían implementado utilizando versiones anteriores del lenguaje de programación de SAP. El problema continúa porque se sabe que una cantidad considerable de grandes clientes de SAP depende de estas versiones anteriores del software que en muchos casos datan de hace años, o en ejemplos extremos, incluso décadas. La alerta pone de relieve cómo el software de SAP a menudo se gestiona dentro de las empresas como un sistema interno, sin mayor conciencia de que es susceptible al tipo de ataques que los sitios web, los sistemas de correo electrónico y las redes públicas sufren a diario.

El problema es menos un problema de software que uno de responsabilidad por cómo se corrigen esos errores, dicen los expertos en seguridad del ERP. Los clientes confían en una cadena de consultores, empresas de auditoría externa y equipos internos de seguridad SAP especializados para decidir cuándo instalar parches sin arriesgarse a desestabilizar sus sistemas.

SAP produce docenas de parches de software cada mes para corregir errores en su software. No es de ninguna manera el único. Microsoft, por ejemplo, lanza parches similares el segundo martes de cada mes a millones de administradores de red de oficinas, que deben decidir cuándo aplicar estas correcciones, un proceso denominado “Martes de parches”.

Pero en el caso de SAP, un número desconocido de clientes no han aplicado la solución. Los expertos en seguridad del ERP dicen que los sistemas SAP contienen información delicada financiera, de recursos humanos y estrategia empresarial, lo que significa que la seguridad de SAP generalmente es responsabilidad de especialistas familiarizados con las complejidades de las aplicaciones empresariales subyacentes, en lugar de equipos de seguridad del ERP que se enfocan en la seguridad cibernética externa amenazas.

Factores que expanden la superficie de ataque de ERP

Las transformaciones en la nube, la movilidad y la digitalización son factores que están expandiendo rápidamente la superficie de ataque del ERP, advierte el informe. Los investigadores encontraron que más de 17.000 aplicaciones ERP de SAP y Oracle están expuestas en internet, muchas ejecutan versiones vulnerables y componentes no protegidos y pertenecen a las organizaciones comerciales y gubernamentales más grandes del mundo, con los niveles más altos de exposición en el Reino Unido, Alemania y los EE.UU.

La gran mayoría de las grandes organizaciones han implementado aplicaciones ERP de proveedores como SAP y Oracle, según el informe, basándose en productos como SAP Business Suite, SAP S/4Hana y Oracle E-Business Suite/Financials para soportar sus procesos comerciales.

Estos incluyen nómina, tesorería, gestión de inventarios, fabricación, planificación financiera, ventas, logística, facturación y alojan datos como resultados financieros, fórmulas de fabricación, precios, propiedad intelectual crítica, tarjetas de crédito e información de identificación personal (PII) de los empleados, clientes y proveedores, entre otra información sensible.

Hasta ahora, dijo el informe, el problema de seguridad del ERP ha sido ignorado en gran parte debido a la falta de infracciones e información públicamente revelada sobre los actores de amenaza en lo que muchos equipos de seguridad de la información consideraron como un dominio complejo y oscuro.

“Los actores de amenazas están continuamente desarrollando sus tácticas y objetivos para obtener ganancias a expensas de las organizaciones”, dijo Rick Holland, CISO y vicepresidente de estrategia en Digital Shadows. “Por un lado, con el tipo de datos que tienen las plataformas ERP, esto no es impactante. Sin embargo, nos sorprendió descubrir cuán real y grave es el problema”.

El informe advierte que, mientras las aplicaciones ERP son atacadas activamente por una variedad de atacantes cibernéticos en diferentes geografías e industrias, los controles tradicionales de seguridad del ERP tales como la administración de identidades de usuarios y la segregación de funciones son ineficaces para prevenir o detectar las técnicas observadas utilizadas por los atacantes.

Ningún negocio está a salvo de los ciberataques

Las empresas que operan en línea deberían estar trabajando para garantizar la resiliencia operativa, mientras que el sector financiero debería centrarse más en la colaboración, afirma la firma de servicios profesionales KPMG. La consultora aconseja que las organizaciones deberían:

Poner las amenazas cibernéticas que enfrentan en perspectiva al considerar lo que los ciberdelincuentes podrían estar buscando y cómo podrían obtenerlo
Usar escenarios de ataque creíbles para probar la adecuación e integración de los controles.
Desarrollar el compromiso de los líderes de la organización para que los controles se apliquen de manera proporcionada en todas las áreas del negocio.
Pensar en lo que la organización necesita hacer para sobrevivir y reconstruir después de un ciberataque importante.

Fuentes: Onapsis: New Report Reveals Evidence That ERP Applications are Under Attack by Cybercriminals, Hacktivists and Nation-state Actors/ Reuters: Exclusive: Security bug SAP patched years ago draws U.S. government alert (Eric Auchard)

Adaptado por la división consultoría de EvaluandoERP.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!

Share This