SAP 與 IT 人員溝通不善 令近 95% 企業 SAP 用戶均受黑客威脅

不少中型與大型企業均會於業務上應用到 SAP 軟件,儘管各企業的 SAP 軟件的大多將針對自身業務範疇的所需功能為主,但不少 SAP 軟件均以類似、甚至相同的軟件作為整套軟件的基礎架構。而日前一定 SAP 方案供應商的研究就指有近 95% 的企業的 SAP 架構中均含有非常嚴重的漏洞,令黑客可以輕易地騎劫企業的商業數據與程序。

不少中型與大型企業均會於業務上應用到 SAP 軟件,儘管各企業的 SAP 軟件的大多將針對自身業務範疇的所需功能為主,但不少 SAP 軟件均以類似、甚至相同的軟件作為整套軟件的基礎架構。而日前一定 SAP 方案供應商的研究就指有近 95% 的企業的 SAP 架構中均含有非常嚴重的漏洞,令黑客可以輕易地騎劫企業的商業數據與程序。

 

企業 IT 人員與 SAP 資安人員溝通不善為主因

據 SAP 方案供應商 Onapsis 日前的報告指,有三種攻擊方式為黑客針對企業 SAP 系統常用的慣用技倆:

  1. 透過於 SAP 中發掘脆弱的支點,成功進入系統後再對鄰近系統、服務發動攻擊;
  2. 在 SAP RFC 閘口中發掘弱點,攻擊並取得管理員權限後透過數據倉庫 (data warehouse) 篡改 SAP 上的資料;
  3. 藉以 J2EE 漏洞製造後門帳號瀏覽各 SAP 服務與其他內部軟件。

全球有多達 25 萬名商業客戶 – 包括全球 100 大最有價值企業中的 98 間企業均受此類型的漏洞影響;Onapsis 行政總裁 Mariano Nunez 更指由於 SAP 資安團隊與企業內部的 IT 人員溝通不善,導致現時為 SAP 系統推出的更新檔大多只為系統、功能性更新等,多與資安無關,變相令不少 SAP 企業用戶時刻暴露風險中。

報告中的數據指,去年 SAP 推出的 391 項安全性更新中近半數均被列為嚴重,但由於上述情況,令不少企業現時仍受相關風險所威脅。

Nunez 續指,由於 SAP HANA 的出現,令 SAP 的安全性更新數量上升 450% 之多:原因為現時需要同時保護雲端上與企業內部的資料。

若企業希望減低業務受上述風險威脅,企業應先做好自己的本份,以以下三點為基礎:

  1. 必須保持 SAP 系統的安全性更新;
  2. 保持對公司內部所有網絡進行監控,以及早發現任何不尋常活動;
  3. 及早制定全面的資安保障與危機管理政策;

企業可以上述三項作為基礎,再建構更全面資安保障,令業務不致受瑣碎的資安問題而影響。

Source:Onapsis