#SAP安全研究主管Roger Gutbrod博士访谈

首先，我想谈谈SAP的销售和我们销售策略的变化。过去，SAP以其成熟和丰富的功能和特性说服了我们的客户，以支持大多数行业。这发生了巨大的变化。而云业务是这一变化的主要驱动力。当你和销售人员或任何和销售交易有关的人交谈时，他们会告诉你，销售中安全第一。我们首先需要让客户相信我们的云服务是安全的。如果我们在这里失败了，他们根本不会看我们的产品。我们必须在安全问题上说服他。SAP需要将这种态度带到生产和交付中。在我们的软件开发和操作中，安全必须放在第一位。但安全要求变化很大。每天都有一个新的攻击向量。SAP安全研究有一个基本原则和使命：

每年我们都会开会讨论我们战略的优先事项。我们目前确定了8个领域，我们认为有必要进行研究，以确保SAP和我们客户的未来：

我们研究匿名化技术，以实现分析和ML，同时考虑客户对SAP的信任。我们负责管理开源中的安全性和软件生命周期过程中的安全性。通过对欺骗性应用程序的研究，我们希望在SAP的产品中实现自我保护的特性。应用密码学一直是所有会议研究中涉及最多的领域。我们的战略中也有这一点。自两年以来，我们增加了安全的ML和安全的ML来保护我们的智能企业。我们最近又增加了两个话题：安全物联网借助量子技术，我们拥有一个对SAP和所有行业具有长期影响的研究领域

在我们所有的官方宣传册上，您将在封面上找到一座桥梁。这是有目的的，因为我们的misson是"通过在科学界和产品开发之间建立桥梁，我们实现了我们的目标，即在SAP进行超前思考并为产品安全做好准备"。这意味着我们需要从科学的角度来考虑这两个方面，从中我们可以了解新的安全威胁和技术来防止它们。另一方面是SAP的产品开发，我们希望使其能够持续安全。

这是一个非常好的问题。我们当然有科学会议作为网络安全趋势的投入，此外，我们还有年度研讨会。我们刚刚结束了2019年的研讨会。在这里我们回顾我们的战略领域。战略专家解释他们观察到的趋势。我们还包括所谓的"趋势调查"。讨论了Forrester、Gardner、IDX、Accenture等公司提供的技术趋势。我们想看看，里面有什么安全措施。此外，我们每年都举办SAP安全研究研讨会，邀请教授与我们讨论趋势和可能的方法。今年的活动在Mougins举行，SAP的CSO Tim McKnight作为特邀嘉宾。今年，我们的研讨会因全球安全领导团队的额外要求而扩大。他们发现了新的趋势，并询问我们，Sap安全研究如何提供帮助。他们带来的一个重要趋势是，从网络安全防御和应对转向更广泛的领域，包括网络情报，这就是所谓的网络融合中心。

我不会把与开发组织的合作当作日常事务。我们的方法是将学术界与产品开发联系起来。这意味着，在与产品所有者接触之前，我们首先需要合理的研究结果。转移研究成果可能是一件耗时的事情，我们还需要额外的发展能力才能取得成功。我们与ICN合作，大数据有什么用，使这些研究成果的转移更加有效。

通常，安全的软件开发生命周期不是SAP安全研究的职责。我们有一个产品安全团队，负责产品安全标准-开发指南，还有一个中央安全操作团队，企业管理软件排行，负责部署和安全操作的安全指南。两个团队也会咨询SecDevOps团队。尽管如此，还是有一些研究结果最终出现在这两个标准中。一个例子是威胁建模，它最初是由我们的团队研究的，并且产品化为安全开发生命周期。此外，企业软件正版化，我们还发明了自动化安全处理的工具。开源漏洞管理的VULAS是另一个很好的例子。

如上所述，这是与产品安全团队和安全操作团队的协作。我们的职责是监控新的方法和新的攻击向量，并找到解决方案。SAP Security Research通过信息共享和培训课程，不断超前思考，为产品开发准备一种安全的方法。我们通过安全专家JAM页面讨论中的交流定期通知安全专家社区，并在每两周一次的SAP专家安全交流会议上提供最新趋势和解决方案。此外，年度d-kom和SAP安全专家峰会得益于SAP Security Research的贡献。

今年，我们举办了一个非常密集的研讨会。首先，我们使用麦肯锡的7S战略概念来回顾SAP安全研究，并根据我们的战略调整支持因素。其次，我们评估了Gardner、Forrester、IDC和其他人提供的技术趋势，以研究可能的安全挑战。第三，我们审查了自己的战略。重点是匿名化和应用加密，我们在这里取得了一些成熟，并讨论了桥梁的第二部分，如何使结果可用于SAP产品开发。