每个大公司最重要的部分就是ERP系统。ERP涉及到所有的关键业务流程，包括采购、付款、交货，以及人力资源管理、销售、生产等，所有由ERP系统保存的信息都非常重要。任何未经授权的访问都可能导致巨大的财务和声誉损失。

人们普遍认为ERP安全只是简单的职责分离矩阵已不再相关。在过去的3-5年中，SAP安全专家提交了大量报告，描述了对SAP子系统的不同攻击，如RFC数据交换协议、SAP路由器、web应用程序和使用SAP GUI的客户端工作站。人们对这一问题的兴趣每年都呈指数级增长。

最近发布了许多黑客工具，扩大了攻击面，为成功攻击SAP系统带来了新的可能性。与此同时，与不同SAP产品中存在的漏洞相关的安全注释数量也在不断增加。这些漏洞和错误配置可能允许未经授权的入侵者访问公司的所有关键业务数据。企业主甚至开始考虑使用专门的解决方案来保护SAP子系统。

正如您所知，SAP定期发布称为SAP安全说明的内部文档。此类注释通常会告知我们SAP产品中发现的新漏洞或可能对SAP子系统构成安全风险的配置错误。第一张这样的钞票早在2001年就发行了。但在过去的十年里，安全注释的数量呈指数级增长。

大多数安全问题（约70%）都被标记为高优先级。这意味着大约2/3的已知漏洞应该立即修复。这些漏洞中最危险的是那些可以在各种数据库中在线找到的漏洞。流行的以安全为中心的网站定期发布新漏洞的详细描述以及如何利用这些漏洞。它们还包括可能有助于利用新漏洞的攻击工具包和其他黑客工具的信息。

例如，SecurityFocus发布了漏洞的详细描述，有时甚至发布了有关PoC攻击的信息。Sad但是这个数据库中列出的所有漏洞都有很高的被利用的可能性。

像这样的另一个站点被称为漏洞数据库。在这里你可以找到很多现成的漏洞。你可以不做任何改变就使用它们。没有任何技术知识的新生黑客已经在使用它们。需要注意的是，此数据库中列出的漏洞非常关键，大数据治理平台，应在24小时内处理。

然而，不幸的是，许多安全专家完全不知道如何保护SAP等业务应用程序。问题还在于，自建站平台，保护和安全责任不是强加给CISO的，而是强加给系统的所有者和经营者的，他们实际上必须控制自己。因此，实际上没有人对系统最重要部分的安全方面负责。

也值得描述一些不那么关键的问题：

缺乏称职的专家。在许多组织中，SAP安全性基本上被SAP专家认为是一个安全专家对SAP网络威胁的肤浅理解。他们还缺乏微调SAP安全特性的技能。数百个微调选项。一个典型的系统包括1000多个基本变量以及大量的微调设置。它还包括用于区分不同对象（如表、事务、RFC过程等）的权限和特权的选项。例如，可以有一千多个不同的web界面来访问系统。使用所有这些微调选项来确保系统的安全性是一项非常重要的任务。自定义设置。没有两个完全相同的SAP系统。几乎所有的设置都会被客户端锐化。此外，他们还添加了自己编写的第三方安全解决方案，如VPN。

最近，SAP安全问题在HITB和BlackHat等不同的安全会议上得到了越来越多的关注。从2010年开始，这一趋势也转移到了其他技术会议上。越来越多的研究人员和公司发表了他们的SAP安全研究论文。是的，许多报告最初都致力于解决涉及SAP基础架构的典型infosec问题：web应用程序安全、客户端安全、特洛伊木马和后门。最近，重点已转移到专门的威胁和SAP漏洞，如ABAP代码问题、SAP内核问题、SQL注入、J2EE引擎中的漏洞和缓冲区溢出。

我可以得出结论，SAP保护和安全整体上的大众兴趣正在大幅增加。鉴于漏洞数量的不断增长和大量可通过互联网访问的SAP系统，我预计SAP系统将受到越来越多的攻击，淘客联盟，不仅是APT的主人（高级持久性威胁），而且还会通过大规模非目标活动，涉及蠕虫和其他使用同时存在多个漏洞。

如今，安全专家和网络管理员负责保护SAP系统。他们需要学习大量的手册，大数据数据库，学习如何设置安全配置，安装所有更新，云快卖，并定期审核代码。