DHS報告稱，一個2010年已修復(fù)的SAP漏洞導(dǎo)致30多家跨國企業(yè)遭受數(shù)據(jù)泄露事故。這個漏洞讓攻擊者可獲取這些企業(yè)系統(tǒng)中業(yè)務(wù)信息和流程的遠(yuǎn)程管理權(quán)限。那么，為什么補(bǔ)丁沒有發(fā)揮作用，企業(yè)應(yīng)該怎么做來確保系統(tǒng)安全?

在很多企業(yè)中，SAP仍然在用于運(yùn)行關(guān)鍵任務(wù)系統(tǒng)，而同時，這些企業(yè)也都在努力應(yīng)對SAP安全問題，包括輔助系統(tǒng)和其他關(guān)鍵任務(wù)系統(tǒng)的安全性。這些系統(tǒng)通常非常復(fù)雜，并有大量定制化和集成應(yīng)用用于支持關(guān)鍵業(yè)務(wù)流程，這使得企業(yè)對這些系統(tǒng)的變更非常謹(jǐn)慎。SAP已經(jīng)發(fā)布了補(bǔ)丁用于緩解這個特定SAP漏洞，這個補(bǔ)丁需要手動配置，并在部署前還需要進(jìn)行全面測試。

這個補(bǔ)丁未被有效部署和使用的原因之一是，企業(yè)可能非常警惕這對集成到SAP環(huán)境的定制應(yīng)用的潛在影響，因為這些應(yīng)用可能依靠這個特定SAP漏洞功能(這可在測試環(huán)境確認(rèn))。同時，企業(yè)無法確定應(yīng)該由哪個部門負(fù)責(zé)修復(fù)SAP環(huán)境中不同組件，SAP環(huán)境可能包括數(shù)據(jù)庫、中間件(Java應(yīng)用服務(wù)器)、Java、web服務(wù)器和操作系統(tǒng)。

運(yùn)行SAP的企業(yè)應(yīng)該注意在合理時間段內(nèi)不遵守SAP安全建議帶來的安全風(fēng)險。企業(yè)可能假設(shè)沒有人會找到他們的SAP端口，沒有人會發(fā)現(xiàn)他們的防火墻保護(hù)著其內(nèi)部系統(tǒng)，但事實是，攻擊者可能比他們想象中可更容易地發(fā)現(xiàn)易受攻擊的SAP環(huán)境。CERT也向企業(yè)發(fā)出警報建議修復(fù)SAP環(huán)境，部署資源來保護(hù)其系統(tǒng)。

企業(yè)應(yīng)該做的第一步是通過Onapsis發(fā)布的攻擊指標(biāo)來確認(rèn)其SAP環(huán)境是否已經(jīng)遭受攻擊。無論修復(fù)這個SAP漏洞需要多少手動配置步驟，該軟件制造商已經(jīng)發(fā)布了安全補(bǔ)丁，企業(yè)應(yīng)該采取措施在所有系統(tǒng)(包括關(guān)鍵任務(wù)系統(tǒng))部署補(bǔ)丁。企業(yè)可使用漏洞掃描儀來掃描與SAP相關(guān)的所有系統(tǒng)，以發(fā)現(xiàn)易受攻擊的SAP組件。