在许多方面，ERP系统都是企业的枢纽。这些APP主要由SAP，Microsoft和Oracle等“大型供应商”代表，并处理组织内最敏感和最有价值的数据。客户，销售，财务，产品，服务，员工信息和商业秘密都在这里生活。违反此类关键APP可能会导致意外停机，增加合规风险，降低品牌信心以及项目延迟。

有鉴于此，我们需了解有关当今影响ERP安全的一些最大威胁的更多信息。

问：在保护ERP APP方面，公司面临哪些挑战？

答：甚至在几年前，当组织传统上在内部运行其ERP APP时，它们与外界隔离，并且只能由内部员工访问，因此网络分段和过滤器不足以保护它们。在当前形势下，情况甚至更糟，在这种情况下，诸如数字化转型和向云计算迁移等举措促使公司将敏感的业务信息暴露在其组织的四面墙之外。尽管这些举措通常可以节省资金并使业务更灵活，但它们也可以通过在移动APP，云环境和Web APP之间遍历数据来增加潜在的攻击面。

问：尤其是云迁移如何影响ERP安全？

答：随着数字化转型计划的发展，许多关键业务APP（如果尚未运行）正在托管环境中迁移。这些托管环境运行在外部数据中心中，由领先的云产品（如Amazon，Google，IBM或SAP）管理。

这些APP已连接到本地环境，并且可能通过Internet进行访问。实际上，IDC最近的一项调查中有74％的受访者表示，目前可以通过互联网访问其大型ERP APP。这种连接增加了另一层复杂性，并增加了潜在的攻击面。

这不应吓到那些将系统迁移到云中以利用节省成本和改进业务功能的公司；变得更加重要的是，它们受到了适当的保护。

问：违反ERP的潜在财务影响是什么？

答：IDC的ERP安全风险调查中，将近三分之一（35％）的受访者认为ERP APP停机可能会使组织每小时损失超过50,000美元。29％的受访者认为ERP停机可能会使组织每小时损失超过100,000美元。没有两种攻击是相同的，但是利用这些统计数据，很明显，对ERP APP的攻击实际上会对几乎所有企业造成严重的财务影响。

问：组织可以采取什么措施来维持适当的ERP安全和IT控制？

答：安全性不是万能的药，但是企业可以采取许多步骤来加强其保护，包括：
•确保已正确建立对所有关键业务APP的威胁（内部和外部）的连续监视。
•实施补丁程序管理解决方案，以确保审核和实施ERP系统的关键安全补丁程序。
•为关键业务APP中用于财务报告的自定义代码建立安全控制。
•确保将关键的网络安全控制措施映射到包括SOX，NERC-CIP，PCI，GDPR等在内的法规。

在当今的环境中，关键业务APP越来越多地被公开并连接到多个网络和APP。攻击者可以利用这些机会来破坏组织的业务流程并利用公司的头等大宝。这进一步证明了需要专门的技术来理解关键业务APP，并提供适当级别的可见性和保护，以确保组织内最重要的信息和流程得到保护。