Metodología o Checklist para auditar un sistema SAP

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema SAP y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o checklist a seguir para auditar efectivamente estos sistemas. Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP. El primer recurso que les comparto es la charla de Mariano Nuñez sobre Pentesting en Sistemas SAP: VIDEO En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP ECC creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos: Descarga las directrices para auditar SAP ECC de este enlace Pero también documentación creada por la misma SAP con lineamientos para auditar SAP R/3 que nos ayudaran mucho en la tarea de auditar sistemas SAP. Descarga los lineamientos para auditar SAP R/3 creados por SAP En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración. Mariano Nuñez (creador de sapyto) ha compartido con nosotros mas información y herramientas para ampliar nuestra lista: Bizploit el primer framework open source para realizar Penetration testing a un ERP Descargar Bizploit v1.00-rc1 para Windows Descargar Bizploit v1.00-rc1 para Linux Onapsis Integrity Analyzer for SAP, una solución que permite detectar modificaciones sin autorización a los programas ABAP en la plataforma SAP. Download Integrity Analyzer for SAP (Oracle databases) Recomendamos leer la guia de instalación en la carpeta “Doc”. Seguridad SAP en profundidad, serie de artículos donde explican los pasos a seguir para revisar la seguridad de un sistema SAP en profundidad. Volume I: The risks of downwards compatibility Volume II: SAP Knowledge Management – The risks of sharing Volume III: The Silent Threat: SAP Backdoors and Rootkits muchísimas gracias por el aporte y mariano. Si tienes mas aportes en esta materia dejalos...

Leer Más

OSSTMM (Open Source Security Testing Methodology Manual) 3.0

Acaba de ser publicada la versión 3.0 de la famosa metodología abierta de comprobación para la seguridad (OSSTMM, Open Source Security Testing Methodology Manual), uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y con lo poco que he podido ver en esta nueva versión se le ha dado un cambio radical a algunos puntos de la metodología, que permiten aumentar la efectividad del manual, pero podría requerir un esfuerzo extra a quienes ya veníamos trabajando con las versiones anteriores del OSSTMM, algunos de los cambios que he visto en esta versión 3.0 son: La metodología fue re-escrita totalmente, revisando minuciosamente cada uno de sus puntos. Re-ordenado el Mapa de Seguridad Nuevo concepto de dashboards, que nos permite organizar mas fácilmente los datos procedentes de los RAVs y explicarlos mejor. Se explican mejor y se le da mas relevancia a los Valores de la Evaluación de Riesgo o RAVs. Seguramente hay muchos mas, pero aun no termino de leerlo. Para resumir esta es una versión de lectura obligada, para quienes manejamos OSSTMM, si aun no usas ninguna metodología al realizar test de penetración, esta es la versión que deberás empezar a leer, para que no tengas conflictos con los cambios de versiones anteriores y utilices la mejor versión del OSSTMM. Fue una larga espera desde la publicación de la versión 3.0 LITE hasta esta entrega, solo espero que la edición en español, no tarde el mismo tiempo… Descargar OSSTMM 3.0 Mas Información: Pagina Oficial del...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices