Un escaner de seguridad para SAP 2.0
ERPScan liberó ERPScan Security Scanner for SAP 2.0- una compleja solución para monitorear de forma continua todas las áreas de seguridad de SAP, desde la evaluación de vulnerabilidades y fallas de configuración hasta la revisión de código ABAP y el análisis de privilegios críticos del negocio.
Uno de los cambios más significativos es un nuevo módulo que puede realizar análisis estático de la seguridad del código ABAP. Esto hace del ERPScan la única solución del mercado que realiza tanto la evaluación de seguridad de la plataforma como la revisión del código.
El número de chequeos anónimos que pueden ser llevados a cabo en el modo de pruebas de penetración se han aumentado significativamente para ayudar a las compañías a identificar problemas sin usar credenciales en el sistema.
El nuevo motor puede ayudar a realizar verificaciones de cumplimiento y auditoria no solo mediante RFC --permite realizar escaneos completos a través de la interfaz web, que es una gran característica para pruebas de penetración externas y puede hacer más sencilla la vida de los pen-testers.
Más funciones nuevas:
"A pesar del aumento de la popularidad de los sistemas de seguridad ERP en la comunidad de seguridad, las compañías siguen siendo vulnerables al cibercrimen y los atacantes internos. Hasta el momento SAP ha publicado más de 2000 notas de Seguridad cerrando varias vulnerabilidades, lo cual es mucho, especialmente si tenemos en cuenta que algunas veces es suficiente con una sola falla de seguridad para conseguir acceso a toda la información crítica de negocios. Se presentó un ejemplo en la BlackHat el pasado verano. Por otro lado, casi todas las compañías desarrollan código ABAP propio que también puede contener vulnerabilidades y puertas traseras dejadas por los desarrolladores".
"La evaluación de seguridad SAP, según nuestra experiencia, suele tomar mucho tiempo. Adicionalmente, la complejidad del sistma y la gran cantidad de instalaciones de diferente tipo requieren la participación de especialistas de varios campos de la seguridad. Incluso el servidor de aplicación puede tener una plataforma ABAP o Java, y estos requieren de especialistas completamente diferentes, sin mencionar las aplicaciones y módulos particulares. ERPScan permite simplificar significativamente la tarea de evaluación mediante la automatización de la mayoría de los chequeos habituales, de tal forma se le puede prestar más atención al análisis de la parte hecha a medida," concluye Alexander.
Traducción: Raúl Batista - Segu-Info
Fuente: Help Net Security
Uno de los cambios más significativos es un nuevo módulo que puede realizar análisis estático de la seguridad del código ABAP. Esto hace del ERPScan la única solución del mercado que realiza tanto la evaluación de seguridad de la plataforma como la revisión del código.
El número de chequeos anónimos que pueden ser llevados a cabo en el modo de pruebas de penetración se han aumentado significativamente para ayudar a las compañías a identificar problemas sin usar credenciales en el sistema.
El nuevo motor puede ayudar a realizar verificaciones de cumplimiento y auditoria no solo mediante RFC --permite realizar escaneos completos a través de la interfaz web, que es una gran característica para pruebas de penetración externas y puede hacer más sencilla la vida de los pen-testers.
Más funciones nuevas:
- Soporte de diferentes tipos de aplicaciones web (bsp/iviews/jsp/webservices/webdynpro’s)
- Más de 5.000 chequeos diferentes cubriendo errores de configuración, vulnerabilidades, acceso a aplicaciones web, búsqueda de 50 tipos diferentes de vulnerabilidades en código ABAP.
- Elaborada evaluación black-box de vulnerabilidades
- Catalogado de sistemas y servicios SAP
"A pesar del aumento de la popularidad de los sistemas de seguridad ERP en la comunidad de seguridad, las compañías siguen siendo vulnerables al cibercrimen y los atacantes internos. Hasta el momento SAP ha publicado más de 2000 notas de Seguridad cerrando varias vulnerabilidades, lo cual es mucho, especialmente si tenemos en cuenta que algunas veces es suficiente con una sola falla de seguridad para conseguir acceso a toda la información crítica de negocios. Se presentó un ejemplo en la BlackHat el pasado verano. Por otro lado, casi todas las compañías desarrollan código ABAP propio que también puede contener vulnerabilidades y puertas traseras dejadas por los desarrolladores".
"La evaluación de seguridad SAP, según nuestra experiencia, suele tomar mucho tiempo. Adicionalmente, la complejidad del sistma y la gran cantidad de instalaciones de diferente tipo requieren la participación de especialistas de varios campos de la seguridad. Incluso el servidor de aplicación puede tener una plataforma ABAP o Java, y estos requieren de especialistas completamente diferentes, sin mencionar las aplicaciones y módulos particulares. ERPScan permite simplificar significativamente la tarea de evaluación mediante la automatización de la mayoría de los chequeos habituales, de tal forma se le puede prestar más atención al análisis de la parte hecha a medida," concluye Alexander.
Traducción: Raúl Batista - Segu-Info
Fuente: Help Net Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!