根據(jù)一項(xiàng)新研究，每16個(gè)IT資產(chǎn)中就有一個(gè)已達(dá)到生命周期終點(diǎn)階段，這可能會(huì)使企業(yè)暴露于已知但未修補(bǔ)的漏洞中。

這一數(shù)據(jù)來源于對(duì)Sevco客戶和潛在客戶網(wǎng)絡(luò)中120萬個(gè)IT資產(chǎn)（包括服務(wù)器和設(shè)備）可見性聚合的原始數(shù)據(jù)分析。

Sevco的研究不僅發(fā)現(xiàn)6%的資產(chǎn)已達(dá)到生命周期終點(diǎn)，還發(fā)現(xiàn)28%的IT資產(chǎn)缺少至少一種關(guān)鍵控制——終端保護(hù)或補(bǔ)丁管理。

第三方專家表示，過時(shí)軟件和影子IT系統(tǒng)（未經(jīng)IT部門管理和控制的員工使用的非授權(quán)技術(shù)）帶來的問題正在增加。

在影子IT中

“暴露在互聯(lián)網(wǎng)中的非標(biāo)準(zhǔn)、未管理的設(shè)備的數(shù)量和可用性正成倍增長(zhǎng)，這些設(shè)備通常由非安全意識(shí)的用戶配置，”Forescout的安全情報(bào)副總裁Rik Ferguson表示，“這些設(shè)備通常沒有傳統(tǒng)IT資產(chǎn)那么安全或可見，仍然特別容易受到攻擊?！?/p>

上個(gè)月，一名威脅行為者被發(fā)現(xiàn)試圖出售對(duì)大型云安全公司Zscaler的訪問權(quán)限。經(jīng)過調(diào)查，Zscaler發(fā)現(xiàn)了一個(gè)不在其核心基礎(chǔ)設(shè)施上的測(cè)試服務(wù)器。

2023年發(fā)生的Okta攻擊被歸因于未經(jīng)授權(quán)的IT系統(tǒng)使用，企業(yè)憑證被保存到個(gè)人Google賬戶，然后工作筆記本電腦感染了惡意軟件，這突顯了影子IT如何導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。

生命周期結(jié)束——但風(fēng)險(xiǎn)未結(jié)束

過時(shí)軟件通過增加攻擊面和使組織更容易受到攻擊而構(gòu)成重大風(fēng)險(xiǎn)。

例如，2018年針對(duì)英國航空公司的一次高調(diào)攻擊中，一個(gè)過時(shí)的JavaScript版本是一個(gè)促成因素。2017年臭名昭著的WannaCry惡意軟件暴露了英國醫(yī)院和其他地方過時(shí)的Windows XP系統(tǒng)的風(fēng)險(xiǎn)。

供應(yīng)商認(rèn)為已達(dá)到生命周期終點(diǎn)（EOL）的IT資產(chǎn)不再受益于常規(guī)軟件更新或安全補(bǔ)丁，除非支付額外費(fèi)用以獲得擴(kuò)展支持。例如，當(dāng)Windows 10在2025年10月達(dá)到生命周期終點(diǎn)后，為一臺(tái)PC提供三年的擴(kuò)展安全更新的基本費(fèi)用將是427美元，這略低于2023年為Windows 7 PC提供補(bǔ)丁的490美元。盡管企業(yè)可能會(huì)獲得更好的定價(jià)，但一些資金緊張的組織決定冒險(xiǎn)也就不足為奇了。

KnowBe4的首席安全意識(shí)倡導(dǎo)者Javvad Malik表示：“過時(shí)軟件的最大風(fēng)險(xiǎn)在于那些歷史上未連接到互聯(lián)網(wǎng)的領(lǐng)域。因此，像醫(yī)院或關(guān)鍵基礎(chǔ)設(shè)施這樣的地方通常會(huì)運(yùn)行過時(shí)的軟件?！?/p>

ImmuniWeb的CEO Ilia Kolochenko認(rèn)為，影子IT和過時(shí)軟件的問題是“深度交織在一起的”。

“為了應(yīng)對(duì)影子IT帶來的風(fēng)險(xiǎn)，企業(yè)應(yīng)該維護(hù)并持續(xù)更新所有系統(tǒng)、軟件、用戶、賬戶、數(shù)據(jù)以及有任何訪問企業(yè)數(shù)據(jù)權(quán)限的第三方的全面清單，”ImmuniWeb的Kolochenko告訴CSOonline.com。

有時(shí)，即使是正式批準(zhǔn)的IT系統(tǒng)也沒有及時(shí)更新，例如那些沒有足夠補(bǔ)丁管理系統(tǒng)的系統(tǒng)，這些系統(tǒng)在Sevco研究中被發(fā)現(xiàn)。

例如，2017年Equifax數(shù)據(jù)大劫案就是因?yàn)橐粋€(gè)未打補(bǔ)丁但完全可以打補(bǔ)丁的Apache Struts實(shí)例。

專家一致認(rèn)為，企業(yè)需要進(jìn)行徹底的審計(jì)和風(fēng)險(xiǎn)評(píng)估。最好的防御措施包括嚴(yán)格的配置管理、軟件物料清單跟蹤、安全意識(shí)培訓(xùn)以及限制可安裝的內(nèi)容。

“With Secure威脅情報(bào)總監(jiān)Tim West表示：“了解你的攻擊面并定期進(jìn)行外部資產(chǎn)映射練習(xí)至關(guān)重要。需要注意的是，答案不僅僅是技術(shù)層面的。影子IT背后還有一個(gè)人為因素以及它發(fā)生的原因。培訓(xùn)并確?，F(xiàn)有流程滿足員工需求也同樣重要。”

ImmuniWeb的Kolochenko補(bǔ)充道：“即使是經(jīng)驗(yàn)豐富的軟件開發(fā)人員，有時(shí)也會(huì)不小心在云中部署一個(gè)容器，里面有生產(chǎn)數(shù)據(jù)，用來實(shí)驗(yàn)一些新功能，最后卻忘記了，更不用說那些用家用電腦或移動(dòng)設(shè)備處理業(yè)務(wù)的非技術(shù)用戶了?！?/p>