Durante los últimos 10.000 años el enunciado de la pregunta de las Wilmas a través de la historia ha sido cada vez más complicado. Sin embargo, las estrategias de Pedro para hallar una respuesta no han evolucionado tanto:   “¿Está protegido mi sistema SAP?”      “¡Hagamos un Pen-test!”

Dar por sentado que siempre se puede reducir un tema complejo a identificar unos pocos indicadores y a seguir su evolución durante un corto periodo de tiempo, parece cuando menos un poco optimista. Este es uno de los motivos por los que Pedro acababa pasando la noche al raso y su perro en el sofá en la famosa cabecera de “Los Picapiedra”.

Pedro no tenía imaginación suficiente como para anticipar que el animal también podía entrar por la ventana. ¿Entonces, no es recomendable llevar a cabo pen-testings en SAP?

¡Depende! La respuesta variará en función del objetivo de Pedro.

• Si lo que Pedro busca es que Wilma se relaje en sus brazos, le recomendamos sacudir un poco la roca de la entrada y confirmar a su esposa, que todo está bien.
• En cambio, si Pedro quiere hacer ver a Wilma que deberían renovar la entrada a la cueva, debería hacerla ver lo fácil que sería para una persona malintencionada entrar en casa.

Cuando el objetivo del pen-testing es determinar la probabilidad de que un sistema SAP sea atacado e identificar las medidas adecuadas para evitarlo, se deberían cumplir ciertos mínimos. Hemos de ser conscientes, que los atacantes de 2017 son profesionales con mucha experiencia, utilizan herramientas específicamente diseñadas contra SAP (disponibles en la Deep web) y habitualmente estructuran cada ataque según sus especializaciones (comunicaciones, infraestructura de red, acceso al entorno ERP, robo y/o manipulación de datos, encriptación y secuestro de datos).

Un sistema SAP comprometido puede ofrecer un alto rendimiento a un posible agente malintencionado y debido a este premio, nuestro hipotético atacante puede dedicar y captar muchos más recursos - captando tiempo de personas altamente capacitadas -  para diseñar un plan de ataque viable. Anticiparse a su estrategia debería ser el objetivo de nuestro pen-testing y no conformarnos con que los auditores se relajen en nuestro regazo.

Por eso, nuestras recomendaciones para los clientes SAP son las siguientes:

• Considerar el pen-testing de SAP como una medida más entre otras.
• Disponer de equipos especializados en ataques a entornos SAP.
• Para compensar la desventaja en recursos, recomendamos otorgar a nuestros pen-testers ciertos privilegios adicionales que nunca tendría un atacante que parta de cero, como por ejemplo acceso a parámetros de nuestro SAP. (grey-box pen-testing).

A lo largo de los años hemos revisado la seguridad de muchas instalaciones SAP, en ocasiones hemos revisado sistemas muy bien protegidos y también nos hemos encontrado con casas de trogloditas que tenían ventanas sin rejas, sin vidrios y en algunos casos no disponían de cortinas. En todos los casos, nos ha sido posible medir el nivel de protección y definir medidas para mejorarlo. Grey-box pen-testing como paso inicial ha probado ser la táctica más eficaz para conseguir atención, conciencia y empatía de las Wilmas.