Los sistemas SAP son la columna vertebral de muchas organizaciones, incluida la administración pública. Gestionan los flujos financieros, controlan los procesos de adquisición y garantizan el buen funcionamiento. Al mismo tiempo, los estudios muestran que alrededor del 4% de los empleados están dispuestos a actuar contra su propia organización, lo que convierte a los sistemas SAP no sólo en objetivo de ataques externos, sino también en vulnerables a las amenazas internas. Esto pone de relieve la necesidad de vigilar tanto los accesos externos no autorizados como las actividades internas sospechosas.
El reto en cuestión: Muchas empresas y organismos públicos ya disponen de amplias soluciones de seguridad, pero SAP sigue siendo a menudo un punto ciego. Aquí es donde entra en juego nuestro trabajo. El objetivo era proporcionar a nuestros clientes una visibilidad total de la seguridad de sus sistemas SAP. Lo conseguimos con nuestro sistema integral SAP Security Monitoring & Threat Detection, no como un concepto teórico, sino como una solución práctica y aplicable, utilizando nuestra experiencia y Addon certificado por SAP y Microsoft Sentinel como SIEM.
Por qué la supervisión de la seguridad de SAP es más importante que nunca
Observamos que muchos clientes de SAP ya disponen de diversas soluciones de seguridad, pero sigue existiendo una brecha importante cuando se trata de SAP. Muy pocas organizaciones supervisan la capa de aplicación SAP en busca de eventos críticos, a pesar de que casi todo el mundo estaría de acuerdo en que SAP es una aplicación crítica para el negocio.
¿Por qué? Durante mucho tiempo, integrar SAP en un SIEM era técnicamente complejo. La madurez de las soluciones era insuficiente, no había presión normativa y los CISO dudaban en imponer requisitos de seguridad a los equipos SAP. Sin embargo, ahora vemos un cambio claro: Cada vez más organizaciones se preguntan cómo pueden integrar SAP en su SIEM, aportando visibilidad donde antes había oscuridad y garantizando que SAP deje de ser un punto ciego en su Centro de Operaciones de Seguridad (SOC).
El camino hacia una supervisión SAP segura
La Administración Federal suiza gestiona un complejo entorno SAP esencial para muchos procesos empresariales críticos. El programa SUPERB, basado en SAP S/4HANA, desempeña un papel central en la estandarización y optimización de los procesos administrativos del gobierno suizo. Estos sistemas gestionan la contabilidad financiera, los recursos humanos y los procesos de adquisición, por lo que cualquier fallo o compromiso tendría graves consecuencias.
Del concepto a la realidad
Nuestro primer paso fue integrar los registros de SAP en Microsoft Sentinel. No se trataba sólo de recopilar datos, sino también de interpretarlos correctamente.
¿Qué tipo de acontecimientos indican amenazas potenciales?
- ¿Son escaladas de privilegios, en las que un usuario obtiene de repente un amplio acceso?
- ¿Sistemas mal configurados que abren vectores de ataque?
- O un comportamiento nuevo e inusual del usuario que sugiera un posible compromiso.
Junto con los expertos en seguridad informática de la Administración Federal, implantamos un conjunto de reglas para identificar actividades sospechosas. Utilizando el Lenguaje de Consulta Kusto (KQL), pudimos buscar específicamente patrones que indicaran accesos no autorizados o actividades sospechosas.
Llevamos a cabo este proyecto utilizando nuestro conector SAP a Sentinel, certificado por SAP. Adoptamos un enfoque estructurado para integrar los registros de SAP en Microsoft Sentinel. En lugar de un despliegue brusco, implantamos la conexión en cinco oleadas, cada una de ellas compuesta por cinco sprints para garantizar una transición fluida. Cada sprint introdujo aproximadamente 20 nuevas reglas de detección, lo que nos permitió vigilar sistemáticamente posibles amenazas, como escaladas de privilegios, sistemas mal configurados y comportamientos inusuales de los usuarios que pudieran indicar un compromiso de la seguridad. Junto con los expertos en seguridad informática de la Administración Federal, implantamos un conjunto de reglas para identificar actividades sospechosas. Utilizando el Lenguaje de Consulta Kusto (KQL), pudimos buscar específicamente patrones que indicaran accesos no autorizados o actividades sospechosas.
Una vez conseguida la integración de datos, el siguiente paso crucial era la automatización. Con Microsoft Sentinel, pudimos crear playbooks que activaban automáticamente las alertas e incluso iniciaban las primeras medidas de respuesta cuando se detectaban anomalías. ¿Un inicio de sesión de administrador inesperado en mitad de la noche? Se envía automáticamente un ticket al equipo de respuesta a incidentes. ¿Múltiples intentos fallidos de inicio de sesión desde una dirección IP desconocida? La cuenta afectada se bloquea inmediatamente.
También hicimos especial hincapié en supervisar no sólo el servidor de aplicaciones SAP S/4HANA, sino también la base de datos HANA. Esto garantizó la protección tanto de la capa de aplicaciones como del almacenamiento de datos subyacente, una ventaja crucial frente a las soluciones tradicionales.
Supervisión de la seguridad SAP en la vanguardia
Los resultados hablan por sí solos: Los sistemas SAP se supervisan ahora igual que todas las demás aplicaciones críticas para la empresa. Lo que durante mucho tiempo se consideró un punto ciego en el Centro de Operaciones de Seguridad (SOC) está ahora totalmente integrado. Al conectarse a Microsoft Sentinel, por fin se puede supervisar la seguridad de SAP con las mismas herramientas y métodos modernos que ya son estándar en otras áreas.
Un componente clave de este éxito fue el uso de nuestras probadas reglas de detección específicas de SAP para Sentinel. Estas reglas son el resultado de décadas de experiencia combinada de nuestro equipo en seguridad SAP, que optimizamos y ampliamos continuamente. Como son idénticas para todos los sistemas SAP, la Administración Federal pudo beneficiarse de una solución sólida ya establecida, en lugar de reinventar la rueda. Estas reglas permiten identificar con precisión los eventos críticos para la seguridad y reducen significativamente las falsas alarmas. A lo largo del proyecto, se hizo evidente que es esencial una estrecha colaboración entre los equipos de SAP y de seguridad. Sólo así podíamos asegurarnos de que se captaban, procesaban y utilizaban eficazmente los datos adecuados. En última instancia, este proyecto fue algo más que una mera implantación técnica: representó un cambio en la forma de gestionar la seguridad de SAP.
Conclusión:
La integración de SAP en Microsoft Sentinel ha demostrado que el análisis en tiempo real ya no es opcional, sino que debería ser un hecho. Los ciberataques son cada vez más sofisticados, y las organizaciones ya no pueden permitirse reaccionar sólo después de que las amenazas se hayan materializado. Quienes realmente quieran proteger sus sistemas críticos para la empresa no deben esperar al próximo incidente de seguridad, sino actuar ahora implantando una supervisión centralizada. La Administración Federal Suiza ha dado este paso, y ahora se beneficia de una transparencia y una velocidad de respuesta significativamente mayores.
