Es hora de tomarse más en serio las amenazas de ransomware para las aplicaciones de SAP críticas para el negocio
Por Tim McKnight Executive VicePresident & Chief Security Officer de SAP
Casi todos los días vemos un nuevo caso de ransomware. Históricamente, los ataques siempre han afectado a empresas de todos los tamaños. Sin embargo, últimamente parece que todo gira en torno a los ataques a los sistemas fundamentales o críticos para el negocio de las grandes empresas, desde empresas de combustible y energía hasta empresas de procesamiento de alimentos.
El problema no es que estas empresas no hayan tomado medidas para proteger sus activos, sino que la forma “tradicional” de prepararse y responder al ransomware ya no funciona.
Cuando la mayoría de la gente piensa en el ransomware, hay dos soluciones inmediatas y “tradicionales” que vienen a la mente: las copias de seguridad y la seguridad de los terminales. Sin dudas, ambas opciones son componentes fundamentales de un programa de seguridad sólido. Sin embargo, su presencia podría generar una falsa sensación de seguridad en las organizaciones, ya que aún existen ciertas brechas, sobre todo en lo que respecta a los sistemas críticos para el negocio que están conectados de más formas que nunca antes.
El problema es que muchas empresas se dan cuenta demasiado tarde de que, para prepararse para un ataque de ransomware, hay que cerrar todas las puertas y ventanas de la casa, no solo la puerta principal de la protección de los terminales. Cuando se piensa en las vías de ataque del ransomware, es imprescindible considerar todos los posibles puntos de entrada en el entorno crítico para el negocio y cómo asegurarlos. Para continuar con esta metáfora, también debe evaluar a sus vecinos y, además, de qué forma entran en su casa.Cuando uno piensa en todos estos factores, se da cuenta poco a poco de que este problema va mucho más allá de la seguridad de los terminales y las copias de seguridad. Se necesita una mirada que sea más integral para poder asegurar sus aplicaciones críticas para el negocio, incluidas —sí— cuestiones que clasificaríamos como “buena higiene de seguridad”.
En un reciente informe conjunto de inteligencia sobre amenazas de Onapsis y SAP, se demuestra que los agentes de amenazas claramente cuentan con los medios, la motivación y la experiencia para identificar y explotar las aplicaciones fundamentales desprotegidas y, de hecho, lo hacen constantemente.
A modo de ejemplo, una enorme empresa que cotiza en bolsa recientemente sufrió un ataque de ransomware que afectó los datos de su aplicación de planificación de recursos empresariales (ERP). ¿Contaban con copias de seguridad? Sí: la copia de seguridad se actualizaba una vez a la semana. Sin embargo, las operaciones se detuvieron de todos modos. Cuando esto sucede, incluso con copias de seguridad realizadas correctamente, restaurar los datos a partir de una copia de seguridad puede tomar horas o incluso días y, además, las pérdidas financieras y el impacto negativo en el negocio son elevados de todos modos. ¿Contaban con seguridad en los terminales? Sí; sin embargo, los atacantes eludieron el software de detección y respuesta de terminales (EDR) y accedieron a los datos a través de la aplicación. El EDR es una gran herramienta para identificar actividades en los activos vulnerados y permitir la contención y recolección de artefactos, como las ramificaciones de procesos y archivos creados por el malware, pero el nivel de aplicación continúa siendo un desafío. Además, estos atacantes utilizaron esa capa de aplicación, que no estaba supervisada por la propia herramienta, para vulnerar los activos críticos para el negocio.
Vulnerabilidades como 10KBLAZE, PayDay y RECON permiten a los agentes de amenaza tomar el control total de las aplicaciones a través de la propia capa de la aplicación. Estos agentes de amenaza se dirigen directamente a la aplicación y, una vez dentro, alcanzan el nivel del sistema operativo. Si tenemos en cuenta las iniciativas de transformación digital de los CIOs o la rápida adaptación al trabajo remoto debido a la pandemia de COVID-19, los riesgos cobran una magnitud aún más importante. Onapsis ha comprobado que, en menos de tres horas, agentes de amenazas descubrieron y atacaron nuevas aplicaciones de SAP desprotegidas y aprovisionadas en entornos de IaaS, con más de 400 ataques exitosos registrados a la fecha de esta publicación.
En definitiva, lo que se necesita es un nuevo modelo de defensa contra el ransomware que no solo proteja los terminales, haga copias de seguridad de los archivos y espere que todo salga bien. Gartner afirma que las organizaciones deberían “[i]mplementar un proceso de gestión de vulnerabilidades en función de los riesgos que incluya la inteligencia sobre amenazas. El ransomware suele aprovecharse de los sistemas sin parches para permitir el movimiento lateral. Este debería ser un proceso permanente. Los riesgos asociados a las vulnerabilidades cambian a medida que los atacantes las explotan”. No podemos estar más de acuerdo.
Lo que se necesita es un compromiso renovado con algunos fundamentos clave de seguridad:
- Fortalecimiento de la seguridad de las aplicaciones críticas para el negocio
- Gestión de parches de manera oportuna
- Evaluaciones de vulnerabilidad en momentos puntuales
- Supervisión continua de las vulnerabilidades y amenazas en sus aplicaciones críticas para el negocio
- Protección del código personalizado en las aplicaciones críticas para el negocio
- Compromiso con el control y la administración
SAP está comprometido a innovar continuamente su propio software para mantener segura la información de sus clientes, tanto on-premise como en la nube. Damos prioridad a la seguridad para que usted pueda centrarse en dirigir su negocio y gestionar las relaciones con sus clientes de forma eficiente a través de las soluciones de SAP, con la seguridad de que sus datos están a salvo. A fin de proteger a los clientes de los ataques de ransomware, es de suma importancia poder asegurar la infraestructura de desarrollo, como la cadena de producción e implementación, para evitar la manipulación de los artefactos de envío.
Como parte de nuestro compromiso con los clientes, SAP respeta un ciclo de vida de desarrollo y operaciones de software seguro para identificar y mitigar todo tipo de debilidades y vulnerabilidades de seguridad durante el desarrollo de productos y servicios. Mediante el uso de técnicas de identificación de riesgos, como su método de modelado de amenazas y la capacitación en desarrollo seguro, SAP permite a los equipos de desarrollo eliminar los posibles puntos de entrada de ransomware y otros tipos de ataques. Además, garantiza que los principios básicos de seguridad, como el de mínimo privilegio, forman parte del ADN de los desarrolladores de SAP.
SAP continúa reforzando sus sistemas con análisis automatizados de código estático, búsquedas de vulnerabilidades y validación por parte de un equipo de seguridad interno de SAP exclusivo e independiente. El ciclo de vida de desarrollo de software de SAP ofrece un ejemplo a los clientes sobre cómo mantener un modelo DevSecOps que cubra los aspectos de desarrollo y operaciones para la entrega continua y segura de software.
Al momento de implementar y ejecutar aplicaciones de SAP, es imprescindible que las organizaciones se centren en fortalecer su sistema para poder minimizar la superficie general susceptible de ataques; por ejemplo, garantizar la correcta definición de los parámetros y otros aspectos de la configuración del sistema, incluida la activación de las características y funcionalidades de seguridad. Es importante que se definan correctamente los ajustes de configuración para proteger a una organización contra posibles vulnerabilidades de seguridad.
SAP proporciona características clave para mantener a las organizaciones al día sobre el rendimiento y la estabilidad. Por ejemplo, el servicio SAP EarlyWatch Alert, que supervisa las áreas administrativas esenciales de los componentes de SAP, y el servicio SAP Security Optimization, que verifica y mejora la seguridad al identificar posibles problemas de seguridad relacionados con su solución de SAP y proporcionar recomendaciones clave.
A medida que los agentes de amenazas idean nuevos modos de ataque y se identifican las vulnerabilidades de estos ataques, SAP proporciona continuamente actualizaciones de seguridad para el código existente con el fin de mantener sus sistemas a salvo. SAP entrega estas actualizaciones de seguridad a través de paquetes de soporte y, el segundo martes de cada mes y como parte del “Día de parches de seguridad”, publica notas de seguridad con las últimas correcciones y recomendaciones de seguridad. Como se ha observado, la aplicación de un proceso de mantenimiento de seguridad para evaluar y aplicar las actualizaciones de seguridad recomendadas es una de las mejores prácticas con probada eficacia para mitigar el riesgo.
Es hora de cambiar la mentalidad sobre el ransomware. Las organizaciones deben aprovechar las potentes funciones de seguridad nativas de SAP, establecer los procesos adecuados de gestión de parches, código y vulnerabilidad basados en los riesgos y, además, aprovechar las herramientas optimizadas y la inteligencia sobre amenazas críticas de Onapsis. Si lo hacen, pueden reducir drásticamente sus perfiles de riesgo, ir un paso por delante de los grupos de ransomware y, en definitiva, mantenerse alejados de las noticias.