最新研究顯示，超過95%的SAP系統可能有潛在的災難性漏洞。在本文中，專家Nick Lewis探討了如何抵御這些SAP漏洞以及怎樣保持ERP安全性。

企業資源規劃(ERP)系統是很多大型企業的主要組成部分，也是成功運行業務的關鍵。

然而，很多ERP系統非常復雜，在整個企業涉及各種的利益相關者。有些企業的ERP已經使用了幾十年，可能已經積累了多年的技術問題，這讓ERP安全難以維護且非常昂貴。

這些也可能是Onapsis在最新報告中發現SAP漏洞的主要原因。然而，該報告的研究結果不應該勸阻企業使用ERP系統，也不應該嚇唬正在試圖解決SAP安全問題的信息安全團隊。如果遵循安全最佳做法，ERP系統仍然很有用和安全。

SAP漏洞

在報告中，Onapsis研究人員發現超過95%的SAP系統存在漏洞，這些漏洞可能給企業數據和流程造成災難性影響。

這些研究人員通過對SAP系統的數百次安全評估發現了這些問題。

研究人員稱，企業信息安全團隊和SAP運營團隊之間似乎存在脫節;他們發現的SAP漏洞證實了這一說法，因為這些漏洞都是基本的信息安全問題，完全可能在企業信息安全計劃的其他部分中得到解決。

根據Onapsis的報告稱，SAP系統中威脅ERP安全的前三個最常見攻擊向量包括：

1. 低安全性客戶門戶網站;

2. 客戶或供應商門戶網站中使用的惡意賬戶;

3. 底層數據庫協議中的漏洞。

所有這三個問題都影響著對SAP系統的保護。

例如，在第一個攻擊向量中，低安全性客戶門戶網站可設置為允許用戶從任何地方連接來發出訂單。然而，這個客戶門戶網站可以用作攻擊的一部分，攻擊者可從低安全性系統轉移到其他更重要的系統，并最終感染整個SAP系統。

在第二個攻擊向量中，客戶和供應商門戶網站可能會攻擊;后門攻擊者可以從SAP門戶網站和其他平臺繼續來攻擊內部網絡。

在第三個攻擊向量中，攻擊者可以利用不安全的數據庫協議配置，讓他們可以在操作系統執行命令。這樣的話，攻擊者就可以完全訪問操作系統，并可潛在地修改或破壞數據庫中存儲的任何信息。

請注意，這些都是常見的攻擊方法，所有信息安全專業人員應該都不會感到陌生。

SAP和ERP安全最佳做法

雖然企業需要在信息安全計劃中涵蓋所有系統，保護特定資產的特定資源應該與系統對企業的價值相對應。而這些資產的價值應該通過業務影響分析來確定。

此外，雖然企業可能會對生產系統的任何變更有所遲疑，所有系統必須部署基本的信息安全防御以防止安全事故的發生。這些基本步驟可以防止、緩解、抵御和監測安全事件。SAP提供了一個安全指南，SearchSAP也有很多資源，可幫助企業確保SAP系統的基本安全控制，包括漏洞管理、修復管理和基于角色的訪問控制等。漏洞管理可以部署在SAP系統中，定期掃描應用、網絡、數據庫和其他相關的服務器，然后將這些數據整合到修復管理程序進行測試和部署。雖然基于角色的訪問控制是應用安全的關鍵，這也應該擴展到系統的其他方面，以確保適當的職責分離來限制惡意使用的風險。

鑒于SAP系統的重要性質，持續安全控制對SAP帶來的主要影響是可能出于安全原因讓SAP系統停機。如果因為業務原因SAP系統不能停機，企業應該部署計劃來確定如何修復漏洞或者進行其他不會中斷業務的安全更改。這可能包括確保部署高可用性系統，例如備份系統，當主要系統在進行修復或作出更改時會自動接管。

另一個需要注意的事情是，其他安全技術(例如入侵檢測系統、監控工具等)可以專門調整為監控SAP系統。

同時，監控SAP應用日志可幫助發現受感染的賬戶或其他應用水平的惡意活動。使用最小特權的概念(包括限制整個網絡訪問)可以讓攻擊者更加難以找到可利用的漏洞來獲得完整的權限，或防止攻擊者很容易地發現可攻擊的其他系統。

另外，企業需要確保所有系統都是其信息安全計劃的一部分，包括SAP系統。要知道，在過去沒有涵蓋SAP系統使得這些基本安全漏洞仍然存在現在的SAP系統中。

在信息安全領域，有些漏洞已經出現數十年，因此，部署這些SAP系統外發現的程序和修復會顯著提高SAP安全性，并且可以防止更嚴重事故感染關鍵業務操作。