根據(jù)風(fēng)險(xiǎn)管理咨詢公司Turnkey Consulting和關(guān)鍵業(yè)務(wù)應(yīng)用程序安全公司Onapsis最新發(fā)布的《2021年SAP安全調(diào)查報(bào)告》，大量SAP客戶都存在錯(cuò)誤的“安全幻覺(jué)”。該結(jié)果基于對(duì)美國(guó)、歐洲和亞洲100多家SAP客戶的調(diào)查。

　　6%的受訪者認(rèn)為在過(guò)去幾年中遭受了與SAP系統(tǒng)相關(guān)的數(shù)據(jù)泄漏，但近25%的受訪者則表示他們不確定，這表明很多用戶可能沒(méi)有能力檢測(cè)到此類泄漏事件。

　　超過(guò)40%的受訪者最擔(dān)心內(nèi)部欺詐或?yàn)E用，26%擔(dān)心數(shù)據(jù)丟失或數(shù)據(jù)泄漏，只有14%擔(dān)心外部攻擊；大約45%的受訪者認(rèn)為，SAP可以抵御網(wǎng)絡(luò)威脅，因?yàn)樗ǔ２渴鹪谄髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。

　　Turnkey的應(yīng)用和網(wǎng)絡(luò)安全實(shí)踐總監(jiān)Tom Venables指出，惡意行為者越來(lái)越意識(shí)到SAP系統(tǒng)通常包含有價(jià)值的信息。此外，SAP和Onapsis最近進(jìn)行的一項(xiàng)研究表明，威脅行為者通常會(huì)在補(bǔ)丁發(fā)布后的幾天內(nèi)開(kāi)始瞄準(zhǔn)SAP應(yīng)用程序中的漏洞。

　　另一方面，只有28%的受訪者可以確認(rèn)他們有針對(duì)SAP系統(tǒng)的漏洞管理計(jì)劃，并且只有一半?yún)⑴c調(diào)查的受訪者確信他們的SAP系統(tǒng)總是打補(bǔ)丁。報(bào)告稱：“許多SAP客戶都在錯(cuò)誤的安全感下運(yùn)營(yíng)。盡管少數(shù)人同意SAP在內(nèi)部網(wǎng)絡(luò)中沒(méi)有得到充分保護(hù)，但外部威脅并沒(méi)有得到應(yīng)有的重視?！?/p>

　　當(dāng)被問(wèn)及他們是否會(huì)針對(duì)安全和質(zhì)量問(wèn)題審查自定義SAP代碼時(shí)，大約一半的受訪者表示他們會(huì)這樣做，但許多人依賴人工審查，據(jù)Venables稱，人工審查既耗時(shí)又易出錯(cuò)。

　　超過(guò)一半的受訪者在將第三方代碼導(dǎo)入SAP系統(tǒng)之前不會(huì)或者不確定自己是否會(huì)對(duì)第三方代碼進(jìn)行審查。只有53%的人相信他們的企業(yè)可以在投入生產(chǎn)系統(tǒng)之前檢測(cè)到有問(wèn)題或不安全的自定義代碼。