ERP安全现在比以往更值得我们关注

新趋势（云，大数据，物联网）增加了攻击面也就不足为奇了。但是，即使是众所周知的技术也可能成为安全隐患。在企业安全方面，ERP系统（所有关键业务流程和数据的骨干）可能构成隐患。

例如，早在2014年，USIS是向美国政府提供背景调查的最大商业提供商，其报告称该发现已于一年前遭到违反。2015年5月，一项调查 显示 这是SAP的ERP系统，它允许涉嫌由中国赞助的黑客侵入，然后转到公司的网络。尚不清楚SAP是负责任的还是没有修复安全漏洞，还是USIS只是未能修复该漏洞。攻击的结果是，黑客窃取了至少27,000名联邦雇员的个人数据。最终，USIS申请破产。

ERP安全不是一个崭新的话题。但是，这一概念已经发生了重大变化。就在七年前，ERP安全仅被视为职责分离。这意味着要防止员工完全负责一项任务的情况。如今，领先的分析家 提到 （需要注册）ERP安全是要关注的主题，并且对于此类系统的关键漏洞以及经过验证的攻击定期成为头条新闻。

为什么现在？

ERP网络安全值得引起更多关注的原因有很多。

首先，越来越多的可从任何地方访问特定系统的连接设备导致网络和组织边界的模糊。因此，传统的网络安全方法几乎无效，该方法主要侧重于围绕IT资产建立安全边界，然后控制访问。

这种全球趋势也影响到业务应用程序。从仅在公司内部可用且财务和人事部门知道的旧版系统，该软件已转变为具有云和移动功能，并且某些功能将超过200万用户链接到全球链的全球IT平台。

ERP安全飞速增长背后的另一个原因是，攻击者改变了他们的观念。在意识到对企业的攻击更有利可图之后，恶意分子将注意力转移到了企业上，而不是黑客个人。由于典型的ERP系统存储客户数据（ 根据我公司的《 2017年ERP安全调查》，72％的安全专家将客户数据包含 在最关注的问题列表中 ），员工数据（66％）和电子邮件（54％），因此很容易了解为什么ERP系统是网络犯罪分子的最终目标。

所采取的行动

鉴于以上所述，不足为奇的是，接受调查的企业中有89％预计攻击次数会增加。他们还估计，ERP安全漏洞造成的平均损失为500万美元，欺诈行为被认为是代价最高的风险，损失总计高达1000万美元。

尽管如此，组织仍然为攻击做好了充分的准备。企业已经长期忽略了ERP安全-在2010年之前只有四分之一的受访者实施了相关措施。即使到现在，几乎有三分之一的组织尚未对ERP安全采取任何主动行动，但仍计划为此采取措施。年。

只有44％的受访者至少每月监视一次系统的安全性，而令人震惊的14％受访企业表示，他们从未分析过ERP系统的安全性。

为什么组织缺乏ERP安全性？

在认识方面，仍有许多工作要做。尽管有媒体定期报道ERP安全事件，但是从事ERP安全的人中有三分之一没有听说过一起案件。他们中只有4％知道发生严重后果的事件（例如，USIS数据泄露）。

通常，缺乏意识意味着人们不会意识到最坏情况的后果。这通常涉及臭名昭著的三合会的至少一个方面：间谍活动（获得对HR数据的访问权），破坏活动（停止ERP操作和连接的系统）和欺诈（窃取金钱或伪造信息）。

另一个原因是，目前还不清楚谁负责ERP安全，如果发生ERP违规，谁将负责。我公司调查的研究表明，有43％的受访者认为CIO负责，而28％的受访者认为这应由CISO负责。

解决方案

组织应对ERP网络安全采取警惕。公司应具有整体观点，并定期分析网络安全状况，平台安全，自定义保护和SoD。这些传统的防御机制应结合采取积极措施。另一个任务应该是将ERP安全过程无缝地整合到整个企业安全过程中。

企业还可以寻求实施结合了预测，预防，侦探和响应措施的高级SAP网络安全框架。创建这样的框架是为了在集成的自适应安全体系结构和操作之间形成概念上的桥梁。

结论

当然，在网络安全方面，还没有一种万能的解决方案。公司应根据资产对总体安全状况和总体业务的影响来确定优先级。不幸的是，尽管ERP系统发挥了重要作用，但在安全性方面却常常被忽视。