广告

为什么SAP比您想象的更容易受到网络攻击

大型和复杂的系统都存在漏洞。不同寻常的是,大多数公司都没有解决这些问题。

树液 是绝大多数公司选择的企业资源计划系统。从供应链管理到人力资源再到财务等等,企业都会选择它。它处理流程,存储数据,并充当复杂大型企业的神经中枢。

但是,SAP也是唯一易受攻击的。在关键任务和脆弱性之间,SAP是网络攻击者的主要目标。

有什么风险?

广告

ERP网络安全漏洞可能彻底破坏公司。敏感数据的丢失,欺诈,诉讼,恢复费用以及随之而来的PR噩梦,很容易使维修费用攀升至数百万美元。根据 2017年ERP网络安全调查,SAP中一次安全漏洞的平均成本估计为500万美元,三分之一的受访者估计损失超过1000万美元。

那就是他们甚至完全康复了。

2013年,USIS(为国土安全部提供背景调查的联邦承包商)的网络攻击者渗透了SAP系统。超过25,000名政府工作人员的安全受到威胁,USIS损失了超过28亿美元的合同。他们从未康复,并于2015年申请破产。

要了解这种情况是如何发生的,我们必须了解SAP容易受到攻击的所有方式。

查明漏洞

2017年,已识别出270多个SAP安全漏洞,其中跨站点脚本(XSS)是最常见的已识别漏洞类型,而客户关系管理(CRM)是更易受攻击的模块之一。

对于像SAP这样的大型复杂系统而言,存在漏洞是很常见的。不同寻常的是,大多数公司并未充分解决这些漏洞。

2016年2月,Ponemon Institute 已发布 一项研究, 揭露SAP网络违规的风险。 2017年7月,我们进行了 我们自己的学习, 网络攻击和简历:SAP电子招聘会给您的公司带来风险吗?

Ponemon的研究强调了一个重大漏洞,令人惊讶的是,与该平台本身无关。事实证明,许多公司根本不清楚谁应该负责SAP网络安全。

树液 团队通常负责职责,角色和权限以及传输的分离,他们假定IT团队已涵盖SAP网络安全性。同时,IT团队专注于网络安全,并认为SAP团队已经掌握了SAP网络安全性。在Ponemon研究中,有25%的受访者表示,没有一项功能对SAP网络安全最负责。

除了不知道应该由谁来守护房屋外,房屋本身还有错误的锁和闩锁。将恶意软件和其他恶意代码导入SAP非常容易。在我们自己的研究中,我们能够将测试恶意软件上传到52%的测试系统中。

防病毒盲点

如果公司可以使用其防病毒程序保护SAP,那么这些问题都不会那么可怕。

不幸的是,那是不可能的。

树液 数据存储的操作与标准文件系统大不相同。上载到SAP应用程序的文件通常通过SSL加密的连接进行传输,并存储在SAP自己的数据库中,而不是存储在标准磁盘卷中。无论是在传输,存储或执行时,防病毒程序都不会看到那里的内容。而且,如果看不到文件,就无法扫描它们。

因此,就SAP而言,标准的防病毒程序本质上是盲目的。

确保您的SAP系统安全

公司可以做的最大的事情就是及时了解所有SAP网络安全新闻。确定漏洞和发布修补程序之间可能需要几个月或更长的时间。立即安装补丁有助于缩小漏洞范围。

此外,对于公司而言,至关重要的是要在SAP网络安全方面明确定义角色。考虑到所面临的风险,假设谁负责维护该系统的安全是非常危险的。澄清流程和角色,并确保公司的SAP网络安全性具有可识别的所有权层次,可以在防止其溜走裂缝方面发挥很大作用。

保护SAP免受网络攻击是组织中每个人都必须认真对待的任务,并且需要明确且具有远见的领导才能。当企业对风险敞开胸怀,对可能的解决方案敞开胸怀时,他们更有可能抵御任何尝试的安全漏洞。

分享

信息管理的更多内容