Риск запуска устаревшего программного обеспечения (часть 4)

Опубликовано: 7 Марта, 2023
Риск запуска устаревшего программного обеспечения (часть 4)

  • Риск запуска устаревшего программного обеспечения (часть 3)

Введение

В части 1 этой серии мы рассмотрели статистику, которая показывает, что многие люди и компании все еще используют старые версии программного обеспечения, которое менее безопасно, а в некоторых случаях настолько устарело, что больше не получает обновлений безопасности. Мы также обсудили некоторые последствия использования устаревших операционных систем и приложений для безопасности. Во второй части мы говорили о том, почему, несмотря на все эти последствия для безопасности, люди и предприятия по-прежнему цепляются за прошлое и продолжают использовать программное обеспечение, которое давно устарело. В части 3 мы рассмотрели концепцию жизненного цикла поддержки программного обеспечения и то, как она влияет на проблему, а также некоторые детали и «подводные камни», касающиеся, в частности, политики жизненного цикла поддержки Microsoft.

На этот раз, в части 4, мы завершим все это, поскольку мы углубимся в некоторые особенности опасностей, присущих конкретным устаревшим операционным системам, приложениям и устройствам.

XP: теперь это означает «XPloited».

Одной из наиболее часто используемых и любимых устаревших программ является операционная система Windows XP. Как мы отмечали в части 3 этой серии, статистика NetMarketShare показывает, что одиннадцать с половиной процентов настольных компьютеров все еще используют Windows XP, выпущенную четырнадцать лет назад и не письмо, после того как пользователи получили отсрочку, которая продлила поддержку до двенадцати лет по сравнению с обычным десятилетним жизненным циклом поддержки.

Компания какое-то время прислушивалась к мольбам клиентов, но приходит время, когда просто невозможно продолжать пытаться залатать дыры в устаревшей ОС, которую никогда нельзя сделать такой же безопасной, как более новые версии, и Microsoft, наконец, отключила XP. в апреле 2014 года. Однако компания немного отступила и предоставила дату безопасности для эксплойта нулевого дня в IE на XP всего через несколько недель после того, как «абсолютно окончательная» дата поддержки наступила и ушла. Это была обнаруженная FireEye уязвимость в повреждении памяти IE, которая активно использовалась в атаках «Operation Clandestine Fox».

Несмотря на предупреждения Microsoft и независимых экспертов по ИТ-безопасности, многие стойкие поклонники XP преуменьшают риски продолжения использования старой ОС, настаивая на том, что, поскольку они старались не посещать «опасные» веб-сайты (такие как сайты с пиратской музыкой и программным обеспечением, сайты и другие сайты, которые, как известно, часто размещают вредоносные загрузки, не открывают вложения электронной почты от незнакомцев и используют стороннее антивирусное решение), XP не представляет угрозы.

Проблема в том, что с годами злоумышленники становятся все более изощренными. Хотя десять лет назад такие меры предосторожности могли иметь большое значение для защиты тех, кто работает с неисправленной ОС, сегодня вредоносные программы часто доставляются через законные веб-сайты злоумышленниками, которые загружают злонамеренный контент через предоставленную пользователями рекламу или могут быть отправлены в сообщениях электронной почты, которые подделаны, чтобы выглядеть так, как будто они исходят от известной и надежной стороны.

Тем не менее, некоторые пользователи XP настолько отчаялись, что цеплялись за прошлое, что они прибегли к таким мерам, как реализация взлома реестра, который якобы позволил XP продолжать получать обновления безопасности в течение еще пяти лет. В ответ Microsoft сообщила, что обновления, предоставляемые этим методом, на самом деле предназначены для операционных систем Windows Embedded и Server 2003, а не для XP, и не обеспечивают полной защиты для XP.

Проблема двоякая: некоторые эксплойты не получают широкой огласки, поэтому пользователи не будут знать и не смогут принять определенные меры предосторожности для защиты от них, но неисправленная ОС по-прежнему будет уязвима. И подобно животным-хищникам, кибер-хищники нацелены на самых слабых членов стада — в данном случае это означает операционные системы, которые, как известно, уязвимы.

С другой стороны, некоторые эксплойты получили широкую огласку. Если нам повезет, быстро выпускается патч для защиты от атак, использующих эти уязвимости. В некоторых случаях, когда об уязвимостях сообщается поставщику программного обеспечения в частном порядке, именно выпуск исправления обращает внимание общественности на недостаток безопасности и его серьезность. В таких случаях патч уже доступен к тому времени, когда все, включая плохих парней, узнают о его существовании. Однако это только для программного обеспечения, которое находится в рамках жизненного цикла поддержки и все еще исправления. Пользователи XP больше не попадают в эту категорию.

Как насчет сторонних решений? Некоторые компании, занимающиеся безопасностью, объявили, что предоставят защиту для XP после прекращения официальной поддержки Microsoft. В 2014 году китайское правительство решило оценить сторонние службы исправления для XP вместо обновления до Windows 8. Сторонние предложения, конечно, не были бесплатными. Более серьезная проблема при выборе этого пути заключается в том, что только Microsoft может вносить изменения в ядро операционной системы, поэтому уязвимости безопасности в ядре все равно останутся неисправленными. Сторонние продукты пытаются обойти это, практикуя «превентивную медицину» — с помощью защиты от вредоносных программ, защиты от руткитов, блокировки URL-адресов и других технологий.

Если вам абсолютно необходимо продолжать использовать устаревшую ОС, само собой разумеется, что вы должны установить как можно больше средств защиты, чтобы снизить риск. Лучшей практикой является также изолировать все компьютеры с XP от остальной части вашей сети и не использовать их для хранения конфиденциальных данных или участия в финансовых транзакциях. Онлайн-банкинг и транзакции по кредитным картам на XP были отмечены экспертами по безопасности как большое «нет-нет».

Еще одним соображением для многих организаций в эпоху регулирования является то, что использование Windows XP может поставить под угрозу ваш статус соответствия HIPAA и другим государственным и отраслевым нормам. Это также может быть фактором привлечения вашей организации к юридической ответственности в случае судебного иска в результате нарушения безопасности. Хотя многие организации сопротивляются обновлению ОС из-за факторов стоимости, в долгосрочной перспективе продолжение использования неисправленной и неисправимой системы для критически важного бизнеса может оказаться гораздо более дорогостоящим.

Но подождите - будет хуже

Когда мы говорим о людях, использующих устаревшие операционные системы Microsoft, мы склонны сразу же сосредотачиваться на XP из-за очень громких (и относительно большого числа) людей, которые отказываются от нее отказываться. Но есть много других устаревших систем, которые все еще успешно работают, и многие из них подключены к Интернету.

Недавно я получил известие от человека, который до сих пор использует Windows 2000, и я не сомневаюсь, что в домах и небольших офисах спрятано несколько машин с Windows 9.x, которые с выносливостью, подобной Мафусаилу, отказываются умирать. В некотором смысле эти пожилые компьютеры могут подвергаться меньшему риску, чем устаревшие компьютеры с XP, хотя это просто случай обеспечения безопасности через безвестность, что, как мы все знаем, самый рекомендуемый способ защиты от недостатков безопасности.

Но что может быть хуже, чем использование рабочих станций с устаревшими клиентскими операционными системами? Конечно, ответом будут устаревшие и неисправимые серверы. И это относится к тем организациям, которые все еще используют Windows Server 2003. Поддержка этой серверной операционной системы закончилась 14 июля прошлого года, и опросы показали, что по-прежнему существует значительное число как крупных, так и малых компаний, у которых все еще хотя бы один работающий сервер, на котором работала старая ОС.

Рабочие станции без исправлений могут служить проводником в сеть, но в бизнес-среде они обычно (по крайней мере, при наличии лучших практик) не хранят много важной информации локально. На самом деле, во многих случаях персональные компьютеры используются в основном как не очень простые терминалы для доступа к службам на сетевых серверах. Таким образом, эти серверы являются более привлекательной целью для хакера и злоумышленника.

Уилли Саттон мог говорить или не говорить, что причина, по которой он грабил банки, заключалась в том, что там были деньги, но то, что киберпреступники преследуют серверы, имеет смысл, потому что именно там находятся действительно ценные данные. Файловые серверы хранят документы компании, которые могут включать коммерческую тайну, списки клиентов, внутреннюю и внешнюю переписку, оригинальный творческий продукт, бухгалтерскую и финансовую информацию и многое другое. На серверах размещаются критически важные службы, обеспечивающие работу сети: DNS, DHCP, службы удаленного доступа, электронная почта, веб-сайты компаний, базы данных и, в некоторых случаях, даже рабочие столы пользователей, не говоря уже о службах аутентификации, необходимых для входа в сеть и доступа. любые его ресурсы.

Уязвимые серверы открывают для организации возможность несанкционированного доступа к ее конфиденциальной информации, подделки или уничтожения незаменимых данных, прерывания важных сетевых функций и полного отключения сети посредством атак типа «отказ в обслуживании». Риск соответствия и ответственности за использование устаревших рабочих станций меркнет по сравнению с риском, связанным с использованием устаревших серверов.

Как и в случае с XP, существуют сторонние продукты, предлагающие защиту, но, как и в случае с XP, это только снижает риск, но не устраняет его. Реальное решение — стиснуть зубы и перейти на более новую и более безопасную операционную систему. Многие компании решают рискнуть в водах Linux, но это может принести свои собственные проблемы, как с безопасностью, так и с другими.

И все остальные "вещи"

Думаете, только ваше компьютерное программное обеспечение подвергает риску вашу сеть? Подумайте еще раз. Мы вступили в эру Интернета вещей, и многие из этих IoT-устройств работают с устаревшим программным обеспечением прямо из коробки.

Это связано с тем, что многие производители недавно подключенных к Интернету «вещей» не занимаются программным бизнесом. Они хороши в создании стиральных машин или тостеров, но когда им нужно добавить такую функцию, как подключение к Интернету, у них часто нет такого опыта. Самый простой и дешевый способ — адаптировать программное обеспечение с открытым исходным кодом в соответствии с их целями, но это слишком часто приводит к тому, что на устройствах работают более старые версии этого программного обеспечения. Они могут извлекать программные компоненты из различных источников и дополнять их.

Проблема усугубляется тем фактом, что, поскольку программное обеспечение не является основной компетенцией этих поставщиков, они слишком часто не выпускают регулярные обновления, как это сделали бы компании-разработчики программного обеспечения. И что еще хуже, они значительно усложняют потребителям доступ к информации об этом программном обеспечении и версиях, чем это делает типичный поставщик программного обеспечения для ПК. С устройствами IoT вы, возможно, не сможете обновляться вручную, а ответственность за поддержание программного обеспечения в актуальном состоянии часто «нечеткая». Ожидается, что клиенты будут просто доверять производителю в том, что программное обеспечение безопасно.

Эта проблема будет только усугубляться по мере роста и усложнения IoT. Я рассмотрел этот вопрос более подробно в своей статье, состоящей из нескольких частей, под названием

Резюме

Может показаться очевидным, что продолжать использовать технологию, которая уже давно устарела и больше не получает обновлений безопасности, по меньшей мере так же рискованно, как продолжать ездить на древнем автомобиле, который был построен до появления современных функций безопасности, без ежегодного осмотра. Однако есть много людей, которые либо не замечают опасности, либо знают лучше, но слишком заняты, слишком ленивы или слишком упрямы, чтобы переключиться.

Если ваша организация находится в таком положении, я надеюсь, что эта серия поможет убедить вас (или помочь вам убедить тех, кто принимает решения), что пришло время пересмотреть свое решение — ради безопасности.

  • Риск запуска устаревшего программного обеспечения (часть 3)