根據(jù)風險管理咨詢公司Turnkey Consulting和關(guān)鍵業(yè)務(wù)應(yīng)用程序安全公司Onapsis最新發(fā)布的《2021年SAP安全調(diào)查報告》，大量SAP客戶都存在錯誤的“安全幻覺”。該結(jié)果基于對美國、歐洲和亞洲100多家SAP客戶的調(diào)查。

　　6%的受訪者認為在過去幾年中遭受了與SAP系統(tǒng)相關(guān)的數(shù)據(jù)泄漏，但近25%的受訪者則表示他們不確定，這表明很多用戶可能沒有能力檢測到此類泄漏事件。

　　超過40%的受訪者最擔心內(nèi)部欺詐或濫用，26%擔心數(shù)據(jù)丟失或數(shù)據(jù)泄漏，只有14%擔心外部攻擊；大約45%的受訪者認為，SAP可以抵御網(wǎng)絡(luò)威脅，因為它通常部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中。

　　Turnkey的應(yīng)用和網(wǎng)絡(luò)安全實踐總監(jiān)Tom Venables指出，惡意行為者越來越意識到SAP系統(tǒng)通常包含有價值的信息。此外，SAP和Onapsis最近進行的一項研究表明，威脅行為者通常會在補丁發(fā)布后的幾天內(nèi)開始瞄準SAP應(yīng)用程序中的漏洞。

　　另一方面，只有28%的受訪者可以確認他們有針對SAP系統(tǒng)的漏洞管理計劃，并且只有一半?yún)⑴c調(diào)查的受訪者確信他們的SAP系統(tǒng)總是打補丁。報告稱：“許多SAP客戶都在錯誤的安全感下運營。盡管少數(shù)人同意SAP在內(nèi)部網(wǎng)絡(luò)中沒有得到充分保護，但外部威脅并沒有得到應(yīng)有的重視。”

　　當被問及他們是否會針對安全和質(zhì)量問題審查自定義SAP代碼時，大約一半的受訪者表示他們會這樣做，但許多人依賴人工審查，據(jù)Venables稱，人工審查既耗時又易出錯。

　　超過一半的受訪者在將第三方代碼導(dǎo)入SAP系統(tǒng)之前不會或者不確定自己是否會對第三方代碼進行審查。只有53%的人相信他們的企業(yè)可以在投入生產(chǎn)系統(tǒng)之前檢測到有問題或不安全的自定義代碼。