根據(jù)風(fēng)險(xiǎn)管理咨詢(xún)公司Turnkey Consulting和關(guān)鍵業(yè)務(wù)應(yīng)用程序安全公司Onapsis最新發(fā)布的《2021年SAP安全調(diào)查報(bào)告》,,大量SAP客戶(hù)都存在錯(cuò)誤的“安全幻覺(jué)”,。該結(jié)果基于對(duì)美國(guó)、歐洲和亞洲100多家SAP客戶(hù)的調(diào)查,。
6%的受訪者認(rèn)為在過(guò)去幾年中遭受了與SAP系統(tǒng)相關(guān)的數(shù)據(jù)泄漏,,但近25%的受訪者則表示他們不確定,,這表明很多用戶(hù)可能沒(méi)有能力檢測(cè)到此類(lèi)泄漏事件。
超過(guò)40%的受訪者最擔(dān)心內(nèi)部欺詐或?yàn)E用,,26%擔(dān)心數(shù)據(jù)丟失或數(shù)據(jù)泄漏,,只有14%擔(dān)心外部攻擊;大約45%的受訪者認(rèn)為,,SAP可以抵御網(wǎng)絡(luò)威脅,,因?yàn)樗ǔ2渴鹪谄髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。
Turnkey的應(yīng)用和網(wǎng)絡(luò)安全實(shí)踐總監(jiān)Tom Venables指出,,惡意行為者越來(lái)越意識(shí)到SAP系統(tǒng)通常包含有價(jià)值的信息,。此外,,SAP和Onapsis最近進(jìn)行的一項(xiàng)研究表明,威脅行為者通常會(huì)在補(bǔ)丁發(fā)布后的幾天內(nèi)開(kāi)始瞄準(zhǔn)SAP應(yīng)用程序中的漏洞,。
另一方面,,只有28%的受訪者可以確認(rèn)他們有針對(duì)SAP系統(tǒng)的漏洞管理計(jì)劃,并且只有一半?yún)⑴c調(diào)查的受訪者確信他們的SAP系統(tǒng)總是打補(bǔ)丁,。報(bào)告稱(chēng):“許多SAP客戶(hù)都在錯(cuò)誤的安全感下運(yùn)營(yíng),。盡管少數(shù)人同意SAP在內(nèi)部網(wǎng)絡(luò)中沒(méi)有得到充分保護(hù),但外部威脅并沒(méi)有得到應(yīng)有的重視,?!?/p>
當(dāng)被問(wèn)及他們是否會(huì)針對(duì)安全和質(zhì)量問(wèn)題審查自定義SAP代碼時(shí),大約一半的受訪者表示他們會(huì)這樣做,,但許多人依賴(lài)人工審查,,據(jù)Venables稱(chēng),人工審查既耗時(shí)又易出錯(cuò),。
超過(guò)一半的受訪者在將第三方代碼導(dǎo)入SAP系統(tǒng)之前不會(huì)或者不確定自己是否會(huì)對(duì)第三方代碼進(jìn)行審查,。只有53%的人相信他們的企業(yè)可以在投入生產(chǎn)系統(tǒng)之前檢測(cè)到有問(wèn)題或不安全的自定義代碼。