根据 Turnkey Consulting 和 Onapsis 发布的最新报告，大多数人并不知道他们使用的 SAP 应用程序可能有多脆弱，这大大增加了他们核心企业系统的风险。

该报告的调查数据显示，尽管数字化转型、云优先方法和移动访问增加了 SAP 系统面临的外部威胁水平，但只有 14.3% 的受访者认为外部攻击正面临其 SAP 环境最大的风险%的人认为内部欺诈是最大的威胁。此外，26.5% 的人表示数据丢失或泄漏是最大的威胁，12.2% 的人认为是系统停机，6.1% 的人表示不确定。

SAP 应用程序漏洞

报告的数据显示了 SAP 客户的自定义代码（为自定义 SAP 系统而创建的程序，以满足他们的特定需求）平均，会有大约 2500 个漏洞，但 36.7% 的受访者由于安全和质量问题不会检查这些代码。此外，36.7% 的受访者表示他们会进行审计，但使用缓慢且容易出错的手动方法。

在其他调查数据方面，32.7%的受访者表示在将第三方开发的代码导入到他们的SAP系统之前没有检查代码，另外20.4%的人不确定他们是否检查代码。

其他主要调查结果

18.4% 的人同意“SAP 在我们的网络中，因此可以保护它免受网络威胁”的说法，而 26.5% %的人不确定。相比之下，超过半数的 51% 的受访者认为情况并非如此，4% 的受访者不知道。值得注意的是，那些对安全有足够信心的人往往拥有有效的工具和监控措施。

只有28.6%的人可以确认有 SAP 漏洞管理计划

只有 28.6% 的人可以肯定地说他们的 SOC 可以看到 SAP 安全事件——这表明 SAP 安全和更广泛的 IT 安全环境有之间的脱节。

51% 的人表示他们的 SAP 系统始终保持最新状态并更新了最新补丁——但 36.7% 的人表示情况并非如此，12.3% 的人不确定。

30.6% 的人认为他们的用户在成熟度和管理 SAP 系统网络风险的能力方面还有改进的空间，同样数量的人认为这只是一个平均水平。

最近的 Onapsis 研究强调了这些发现带来的风险，这表明特定于 SAP 的攻击者正在积极瞄准和利用不安全的 SAP 应用程序，并拥有执行复杂攻击的专业知识和能力。

Turnkey Consulting 应用和网络安全实践总监 Venables 表示：“多年来一个关键趋势和持续的主题是广泛认可的 SAP 安全挑战以及对 IT 风险的更广泛理解和管理. 总的来说，开发工具和流程是为了以更全面的方式应对日益增长的威胁。如果组织要保护自己免受越来越多的外部威胁，缩小这一差距至关重要“

Onapsis 的 EMEA 联盟和渠道总监罗斯表示：“该组织在保护 SAP 系统方面取得了进展，但正如最近的新闻事件表明的那样，这还不够。传统的纵深防御策略通常无法保护任务关键型 SAP应用层。Onapsis Research 已经证明，攻击者可以在 SAP 安全指令发布后不到 72 小时内使用未受保护和未打补丁的关键任务系统。因此，使用正确的技术y 及时的威胁情报、有影响力的服务和改进的内部流程可以更好地保护 SAP 应用层免受漏洞影响，这将被证明是成功的关键。”