SAP用户普遍存在安全幻觉

根据风险管理咨询公司Turnkey Consulting和关键业务应用程序安全公司Onapsis最新发布的《2021年SAP安全调查报告》，大量SAP客户都存在错误的“安全幻觉”。该结果基于对美国、欧洲和亚洲100多家SAP客户的调查。

6%的受访者认为在过去几年中遭受了与SAP系统相关的数据泄漏，但近25%的受访者则表示他们不确定，这表明很多用户可能没有能力检测到此类泄漏事件。

超过40%的受访者最担心内部欺诈或滥用，26%担心数据丢失或数据泄漏，只有14%担心外部攻击；大约45%的受访者认为，SAP可以抵御网络威胁，因为它通常部署在企业的内部网络中。

Turnkey的应用和网络安全实践总监Tom Venables指出，恶意行为者越来越意识到SAP系统通常包含有价值的信息。此外，SAP和Onapsis最近进行的一项研究表明，威胁行为者通常会在补丁发布后的几天内开始瞄准SAP应用程序中的漏洞。

另一方面，只有28%的受访者可以确认他们有针对SAP系统的漏洞管理计划，并且只有一半参与调查的受访者确信他们的SAP系统总是打补丁。报告称：“许多SAP客户都在错误的安全感下运营。尽管少数人同意SAP在内部网络中没有得到充分保护，但外部威胁并没有得到应有的重视。”

当被问及他们是否会针对安全和质量问题审查自定义SAP代码时，大约一半的受访者表示他们会这样做，但许多人依赖人工审查，据Venables称，人工审查既耗时又易出错。

超过一半的受访者在将第三方代码导入SAP系统之前不会或者不确定自己是否会对第三方代码进行审查。只有53%的人相信他们的企业可以在投入生产系统之前检测到有问题或不安全的自定义代码。

https://www.turnkeyconsulting.com/hubfs/Turnkey%20&%20Onapsis%20-%20SAP%20Security%20Survey%20Report%202021.pdf