报告的调查数据显示,尽管数字化转型、云优先方法和移动访问增加了 SAP 系统面临的外部威胁水平,但只有14.3%的受访者认为外部攻击是其 SAP 环境面临的最大风险。40.8%的人认为内部欺诈是最大的威胁,此外,有26.5%的人表示数据丢失或泄露是最大威胁,有12.2%的人认为是系统停机,另外还有6.1%的人表示不确定。
SAP应用程序漏洞
报告的数据显示,SAP 客户的自定义代码(为满足其特定需求定制 SAP 系统而创建的程序)中平均会有大约 2500 个漏洞,但是36.7%的受访者不会因为安全和质量问题而检查这些代码。此外,有36.7%的受访者表示会执行审计,但采用的是缓慢且容易出错的手工方式。
其他调查数据方面,有32.7%的受访者表示在将第三方开发的代码导入他们的SAP系统之前不检查代码,另有20.4%的人不确定他们是否检查代码。
其他关键的发现
18.4%的人同意“SAP在我们的网络内,因此可以免受网络威胁”的说法,而26.5%的人不确定,相比之下,超过半数——51%的受访者认为情况并非如此,4%的人不知道。值得注意的是,那些对安全有有着充足信心的人,往往都拥有行之有效的工具和监控措施。
只有28.6%的人可以确认他们有SAP漏洞管理程序
只有28.6%的人可以肯定地说,他们的SOC对SAP安全事件具有可视性——这表明SAP安全与更广泛的IT安全环境之间存在脱节。
51%的人表示他们的SAP系统总是最新的,并且更新了最新的补丁——但是36.7%的人说情况并非如此,12.3%的人不确定。
30.6%的人认为他们的用户在成熟度和管理SAP系统网络风险的能力方面还有改进的空间,另外还有同样数量的人认为这只是平均水平。
最近的 Onapsis 研究强调了这些发现带来的这种风险,该研究表明特定于 SAP 的攻击者正在积极瞄准和利用不安全的 SAP 应用程序,并拥有执行复杂攻击的专业知识和能力。
Turnkey Consulting 应用程序和网络安全实践总监维纳布尔斯表示:“多年来一个关键趋势和持续的主题,是广泛认可的 SAP 安全挑战与对 IT 风险的更广泛理解和管理之间的脱节,总的来说,工具和流程已经发展到能够以更全面的方式应对不断增长的威胁。如果组织要保护自己免受越来越多的外部威胁,缩小这一差距至关重要。”
Onapsis 的 EMEA 联盟和渠道总监罗斯表示:“组织在保护SAP系统方面取得了进展,但正如最近的新闻事件表明的那样,这还不够。传统的纵深防御策略通常无法保护关键业务SAP应用程序层。Onapsis Research已经证明,攻击者可以在发布SAP安全说明后不到 72 小时内利用未受保护、未打补丁的关键业务系统。因此,使用正确的技术、及时的威胁情报、有影响力的服务和改进的内部流程,可以更好地保护SAP应用程序层免受漏洞影响,这将被证明是成功的关键。”
京公网安备 11010802033237号
