编译：T客汇   卿云

SAP是ERP公认的鼻祖，也是很多大企业的首选。SAP提供企业所需管理软件和服务，从供应链管理到人力资源，再到财务以及其他领域。处理流程，存储数据，并作为复杂和大型企业的神经中枢。但是，SAP系统却是非常脆弱的，往往会成为黑客网络攻击的主要目标。

SAP在修复漏洞上反映迟缓

可能很多人在提安全的时候，往往会忽视ERP网络安全漏洞，这个漏洞足可以摧毁一家公司。敏感数据的丢失、欺诈、诉讼、数据恢复费用以及随之而来的公关噩梦，动辄数百万美元。根据2017年ERP网络安全调查，SAP的安全漏洞平均成本估计为500万美元，其中三分之一的受访者估计损失超过1000万美元。

这还是在可以恢复的情况。

在2013年，USIS（为国土安全部提供背景调查的联邦承包商）的SAP系统受到了网路攻击。25000多名政府工作人员的安全受到威胁，USIS损失了超过28亿美元的合同。没有复原，并于2015年申请破产。

其实关于SAP的网络安全并不是今天才有的话题，早在2014年总部位于英国的Corsaire有限公司的安全顾问及主管Martin O'Neal在给一位用户安装新版SAP并进行常规评估时发现SAP存在致命漏洞。

远程黑客进入SAP系统就像访问自家的后花园一样，可以任意获得SAP用户的特权和敏感的SAP文件。

2013年俄罗斯防毒厂商Dr. Web和一间针对SAP ERP专门安全公司ERPScan发现，有一支恶意软件专门偷SAP客户端应用程序的账号密码，并伺机存取SAP ERP系统，微软也证实有此恶意软件，并命名为：TrojanSpy:Win32/Gamker.A。 ERPScan表示，黑客透过这个恶意软件，可以存取SAP系统的IP地址以及相关的机密文件内容，甚至可以取得高权限用户的账号密码，进一步更改企业与客户之间的付款银行信息，藉此偷取企业的帐款，黑客甚至可以取得ERP中的企业客户名单，贩卖给企业的竞争对手。

2014年SAP在其网站上公布了与ERPScan合作的关于SAP的3000个漏洞的分析报告。

SAP系统漏洞的数量超过人们想象。针对SAP新产品的黑客攻击目标也在增大。在SAP的新产品中如SAP HANA， 尽管只有10个漏洞， 漏洞数量增长速度却远比其他产品要快。

2016年根据Onapsis的调查报告显示，全世界超过25万家企业因为SAP系统中存在的一系列安全漏洞而受到影响，可能导致严重的企业数据泄露。

更令人惊讶的是，在这些漏洞爆出的时候，SAP并没有快速的做出反应，SAP在修补软件漏洞的进度上稍显落后，有些漏洞尽长达3年之久。

造成这样的原因是因为SAP操作团队和IT安全团队之间的责任差距，大多数公司的SAP网络安全都面临着威胁，所以应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。

想要理解这些，我们必须弄清楚所有SAP易受攻击的方式。

相互推逶 安全责任很难界定

在2017年，SAP有超过270个安全漏洞，跨站脚本（XSS）是最常见的漏洞类型，而客户关系管理（CRM）则是其较为脆弱的模块之一。

像SAP这样的大型复杂系统存在漏洞并不稀奇。不可思议的是，这些漏洞大部分公司基本上都没有得到解决。

2016年2月，Ponemon Institute 发布了一项研究，揭露SAP网络入侵的风险。2017年7月，我们进行了自己的研究Cyberattacks and CVs：是否SAP电子招聘会让您的公司面临风险？

Ponemon的研究突出了一个重大的漏洞，而该漏洞却与平台本身无关。最大的BUG是许多公司根本不清楚谁应该对SAP网络安全负责。

到底是应该SAP团队的负责SAP的网络安全问题，还是由企业的IT团队负责网络安全问题，这个界限一直处于模糊边界，并且在Ponemon调查的25%受访者表示，没有任何一项职能对SAP网络安全明确负责。

除了不知道谁应该守着房子，房子本身的锁和门闩也并不牢固。将恶意软件和其他恶意代码放入SAP非常容易。在我们自己的研究中，能够将测试恶意软件上传到52％的测试系统中。

SAP系统会让防病毒成为瞎子

假设企业用户能够使用他们的防病毒程序来保护SAP，似乎这些问题就显得不那么严重。

很不幸，这是不可能的。

SAP数据存储与标准文件系统的操作非常不同。上传到SAP应用程序通常通过SSL加密连接进行传输，并存储在SAP自己的数据库中，而不是存储在标准磁盘卷中。无论是传输、存储还是执行，反病毒程序都不会看到什么内容。如果看不到文件，则无法扫描。

所以就SAP而言，标准的反病毒程序根本就是个瞎子。

如何才能保证您SAP系统的安全，公司可以做的事情就是及时了解所有的SAP网络安全新闻。 在发现漏洞和发布补丁时，会跨越几个月或更长时间。立即安装修补程序有助于缩小漏洞窗口。

此外，公司明确SAP网络安全责任至关重要。事关重大，系统安全的责任靠假设就是耍流氓。明确流程和角色，并确保公司的SAP网络安全具有可识别可追溯的责任体系，可以在防止漏洞中发挥重要作用。

保护SAP免遭网络攻击是SAP与客户等多方的诉求，但是安全不是说说而已，发现问题解决问题才是硬道理，还是需要有健全可追溯的安全责任体制和有效的实际行动。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。