超越修補：Acalvio 主動防禦讓 SAP 攻擊者無所遁形

在企業數位轉型的核心體系中，SAP系統承載著組織最關鍵的營運資料，包含財務報表、供應鏈管理、庫存與物流資訊。由於資料高度敏感，SAP長期以來都是全球駭客組織與勒索集團鎖定的首要攻擊目標。

2025 年 9 月，一起針對全球製造業巨頭的 SAP 攻擊事件造成嚴重衝擊，導致多座工廠被迫停工、IT 系統中斷多日，顯示出 SAP 安全漏洞所帶來的營運風險之鉅。

SAP 成為高價值攻擊目標的原因

SAP 橫跨財務、人資、製造、採購等多項業務領域，是企業最核心的資訊平台。攻擊者一旦滲透成功，便能竊取大量商業機密與財務資料。

近年來，APT組織與勒索軟體團體正加速針對 SAP 架構展開攻擊行動：

• APT組織如 Silk Typhoon（UNC5221） 與 APT41 已被觀察到利用 SAP NetWeaver 相關漏洞取得初始存取權並竊取資料。

• 勒索集團如 Scattered LAPSUS$ Hunters 則利用多個高風險漏洞（例如 CVE-2025-31324、CVE-2025-42999）入侵 SAP 基礎架構，進行資料外洩與營運破壞。

其中 CVE-2025-31324 的 CVSS 風險評分高達 10.0（最高等級），凸顯 SAP 專屬漏洞的嚴重性與攻擊針對性。

同時，生成式 AI（GenAI） 的發展進一步擴大了攻擊面。駭客能以自然語言生成惡意指令與攻擊工具，快速製作可針對 SAP 的武器化漏洞利用程式。

現代 SAP 防禦策略：必須超越「修補與區隔」

傳統 SAP 安全防護以漏洞修補（Patching）與網路區隔（Segmentation）為主，但這樣的預防性策略在今日的威脅環境下已顯不足。

SAP 每月平均發布 10 至 15 個安全修補與更新，企業需考量模組相依與系統穩定性，使修補流程複雜且時效不足。
另一方面，雖然網路區隔能縮小攻擊面，但現代攻擊者已能利用合法身分與信任連線，繞過區隔限制滲透關鍵系統。

因此，企業必須採取「假設已遭入侵（Assume Compromise）」的安全態勢，並建立能即時偵測、快速回應的多層防禦架構。

為何 SAP 的威脅偵測格外困難

傳統 IT 環境多依賴 EDR（端點偵測與回應） 進行威脅監測，但 SAP 系統具備高度運算負載與專屬模組架構，若直接部署 EDR 代理程式，可能影響效能與穩定性。
因此，多數企業選擇不在 SAP 系統安裝 EDR，導致關鍵主機上存在明顯偵測盲點。

此外，SAP 的 日誌格式具專有性，且隨版本更新而變化，使得傳統 SIEM 或日誌分析難以準確偵測異常行為。
近期 Scattered LAPSUS$ Hunters（ShinyHunters） 的攻擊即成功避開 SAP 應用層稽核記錄，展現出其高隱蔽性與防偵測技巧。

主動防禦：提前佈局、預測攻擊、轉移威脅

在多層防禦架構中，主動防禦（Preemptive Defense） 是強化 SAP 安全的關鍵手段。
其核心概念是：在攻擊發生前預先設置陷阱，誘導駭客進入可監控的環境，並於早期階段即觸發警示。

這項策略主要結合兩種誘捕技術：

• Decoy（誘餌系統）：在企業網路內外部署高擬真的假目標，如 SAP Database 或 NetWeaver Web Portal 模型，引導攻擊流量。

• Honeytoken（誘捕憑證）：在真實環境中植入虛假帳號、資料或金鑰，一旦被濫用即立即警示 SOC 團隊。

以實際案例而言，當駭客試圖使用名為「SAPService」的假服務帳號時，系統會即時觸發警報，SOC 可自動隔離端點，成功在攻擊鏈早期攔截威脅並保護敏感資料。

以威脅情報驅動的初始入侵偵測

駭客常透過精心構造的 HTTP 請求針對 SAP API 端點（如 /developmentserver/metadatauploader）部署 Web Shell（如 helper.jsp、cache.jsp）取得持久性。
企業可利用 外部模擬 SAP 節點 蒐集針對性攻擊嘗試，獲得即時威脅情報，包括：

• 攻擊者來源 IP 與地理位置

• 使用的漏洞代碼與攻擊序列

• 攻擊所用帳號與命令樣式

透過此情報，防禦團隊能更早掌握攻擊手法，並針對新興漏洞快速制定應對策略。

Acalvio ShadowPlex：為 SAP 而生的自動化主動防禦平台

Acalvio ShadowPlex 提供業界首創的 自動化誘捕防禦方案（Deception Playbooks），專為 SAP 安全防護設計。其功能包括：

• 自動佈署與更新 Honeytokens，全面偵測針對 SAP 的攻擊活動。

• 高擬真 SAP 誘餌系統（SAP Decoys），涵蓋內部資料庫與對外入口網站。

• AI 智慧策略引擎，自動根據企業環境分析攻擊路徑，精準部署誘捕資產。

• 自動事件分級與通報機制，提供 SOC 團隊可立即採取行動的威脅情資。

ShadowPlex 讓防禦團隊不僅能即時偵測攻擊行為，更能主動引導與轉移威脅流量，確保 SAP 生產系統免於入侵與資料外洩風險。

隨著攻擊者結合 AI、雲端與橫向滲透技術，SAP 安全已進入「主動防禦時代」。
傳統依賴修補與區隔的防禦模式已不足以因應現今威脅。唯有導入以誘捕與偵測為核心的主動防禦架構，才能在駭客啟動攻擊的第一時間即偵測、即回應、即阻止。

Acalvio ShadowPlex 作為一款成熟且經驗證的主動防禦平台，協助企業強化 SAP 資安防禦能力，實現即時威脅偵測與攻擊轉移，守護關鍵業務營運於不斷演變的威脅環境中。

關於 Acalvio Technologies

Acalvio 為全球領先的自動化網路欺敵技術供應商，其核心產品 ShadowPlex 採用分散式架構與人工智慧分析，能在雲端與混合網路中快速部署真實誘餌，主動引導、觀察並分析攻擊者行為，協助組織在「假設已遭入侵」的前提下仍維持業務與作戰的持續性。

竣盟科技(www.billows.tech)是Acalvio的台灣唯一代理商以及指定技術合作夥伴，目前已將Acalvio ShadowPlex持續導入到國內企業與機構中，協助建構高擬真的欺敵平台，並完美地融入現有的監控模式，更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊，請聯繫竣盟科技團隊

sales@billows.com.tw 電話: 02-25623952