חברת SAP הינה אחת מהחברות המובילות בעולם בכל הקשור לאפליקציות ארגוניות. עם זאת, נוכח הצורך בהתאמת האפליקציות לכל ארגון לפי צרכיו ומאפייניו, עלולות להיווצר בעיות אבטחה מסיבות שונות, בין היתר, בשל הגדרות תצורה (Configuration) שגויות.
הצורך במבדק מערכות SAP משתלב בתפיסת Defense In Depth הדוגלת בהגנה על כלל מעגלי הגישה לנכסי המידע הקריטיים בארגון. חשיפה בסביבת ה-SAP עלולה להוביל לסיכוני אבטחה שונים (סודיות, שלמות וזמינות), לרבות: גניבת מידע פיננסי וארגוני רגיש שינוי דוחות כספיים מניעת גישה למערכת מתווה תקיפת סייבר מחוץ, בו מודבק מחשב של אחד מעובדי הארגון ב-malware כתוצאה משליחת הודעת דוא"ל Spear Phishing במסגרת תקיפה ממוקדת – Advanced Persistence Threat) APT). מחשב מודבק מעין זה עשוי לשמש כבסיס לתקיפה רחבה יותר. מקור איום פנימי בחברה. מטרת המבדק היא למפות את הפרצות בסביבת SAP באמצעות מבדק חדירה המתבצע מתוך הרשת המקומית של הארגון. במסגרת זו, נבדקים מספר נתיבי פריצה, העלולים לייצג תרחישי תקיפה שונים: המבדק מבוצע באמצעות שילוב של סריקות ידניות וכלי בדיקה אוטומטיים המותאמים לסביבת SAP ומורכבים מסקריפטים יעודיים לסריקה, מיפוי פרצות וניסיונות פריצה בהתאם למיפוי. הסריקות והבדיקות נערכות ללא מידע מקדים אודות סיסמאות הגישה למערכת, בתצורת Black Box / Gray Box. ממצאי הבדיקה מכילים הנחיות פרטניות ממוקדות לטיפול בחשיפות שנמצאו, בנוסף למסקנות והמלצות לשינויי תצורה בסביבת המערכת והתקנת עדכונים רלוונטיים.
