信息來源：企業(yè)網(wǎng)

DHS報(bào)告稱，一個(gè)2010年已修復(fù)的SAP漏洞導(dǎo)致30多家跨國(guó)企業(yè)遭受數(shù)據(jù)泄露事故。這個(gè)漏洞讓攻擊者可獲取這些企業(yè)系統(tǒng)中業(yè)務(wù)信息和流程的遠(yuǎn)程管理權(quán)限。那么，為什么補(bǔ)丁沒有發(fā)揮作用，企業(yè)應(yīng)該怎么做來確保系統(tǒng)安全？

在很多企業(yè)中，SAP仍然在用于運(yùn)行關(guān)鍵任務(wù)系統(tǒng)，而同時(shí)，這些企業(yè)也都在努力應(yīng)對(duì)SAP安全問題，包括輔助系統(tǒng)和其他關(guān)鍵任務(wù)系統(tǒng)的安全性。這些系統(tǒng)通常非常復(fù)雜，并有大量定制化和集成應(yīng)用用于支持關(guān)鍵業(yè)務(wù)流程，這使得企業(yè)對(duì)這些系統(tǒng)的變更非常謹(jǐn)慎。SAP已經(jīng)發(fā)布了補(bǔ)丁用于緩解這個(gè)特定SAP漏洞，這個(gè)補(bǔ)丁需要手動(dòng)配置，并在部署前還需要進(jìn)行全面測(cè)試。

這個(gè)補(bǔ)丁未被有效部署和使用的原因之一是，企業(yè)可能非常警惕這對(duì)集成到SAP環(huán)境的定制應(yīng)用的潛在影響，因?yàn)檫@些應(yīng)用可能依靠這個(gè)特定SAP漏洞功能（這可在測(cè)試環(huán)境確認(rèn)）。同時(shí)，企業(yè)無法確定應(yīng)該由哪個(gè)部門負(fù)責(zé)修復(fù)SAP環(huán)境中不同組件，SAP環(huán)境可能包括數(shù)據(jù)庫(kù)、中間件（Java應(yīng)用服務(wù)器）、Java、web服務(wù)器和操作系統(tǒng)。

運(yùn)行SAP的企業(yè)應(yīng)該注意在合理時(shí)間段內(nèi)不遵守SAP安全建議帶來的安全風(fēng)險(xiǎn)。企業(yè)可能假設(shè)沒有人會(huì)找到他們的SAP端口，沒有人會(huì)發(fā)現(xiàn)他們的防火墻保護(hù)著其內(nèi)部系統(tǒng)，但事實(shí)是，攻擊者可能比他們想象中可更容易地發(fā)現(xiàn)易受攻擊的SAP環(huán)境。CERT也向企業(yè)發(fā)出警報(bào)建議修復(fù)SAP環(huán)境，部署資源來保護(hù)其系統(tǒng)。

企業(yè)應(yīng)該做的第一步是通過Onapsis發(fā)布的攻擊指標(biāo)來確認(rèn)其SAP環(huán)境是否已經(jīng)遭受攻擊。無論修復(fù)這個(gè)SAP漏洞需要多少手動(dòng)配置步驟，該軟件制造商已經(jīng)發(fā)布了安全補(bǔ)丁，企業(yè)應(yīng)該采取措施在所有系統(tǒng)（包括關(guān)鍵任務(wù)系統(tǒng)）部署補(bǔ)丁。企業(yè)可使用漏洞掃描儀來掃描與SAP相關(guān)的所有系統(tǒng)，以發(fā)現(xiàn)易受攻擊的SAP組件。