遺留的應用程序、老舊操作系統(tǒng)以及過期的技術將會給企業(yè)的內(nèi)部部署數(shù)據(jù)中心帶來巨大的風險,并且隨著時間的推移,風險會越來越大。但是在這些遺留應用程序中,有許多程序?qū)ζ髽I(yè)起著至關重要的作用。
很多企業(yè)由于不同的原因而延遲解決其技術債務,最常見的原因是這樣做既費時又代價高昂,并且會占用其他優(yōu)先級更高的項目中的支出。但這并不是數(shù)據(jù)中心團隊能夠忽略的問題。
遺留應用程序和它們所運行的原有操作系統(tǒng)通常都具有重大的安全漏洞。如果網(wǎng)絡攻擊者進入這些環(huán)境,企業(yè)的安全管理人員甚至可能都不察覺,因為原有系統(tǒng)的日志記錄嚴重不足。
AttackIQ公司首席信息安全官、客戶成功副總裁Chris Kennedy說,“這種技術債務將讓企業(yè)面臨雙重威脅。網(wǎng)絡攻擊者可以利用應用程序中的缺陷,并且缺少日志記錄使得很難了解攻擊者是否進行攻擊。”
Kennedy表示,一些企業(yè)通過在其不安全的遺留系統(tǒng)周圍筑起防火墻來解決這個問題。但他們必須在防火墻提供通道,以便遺留應用程序繼續(xù)工作,網(wǎng)絡攻擊者將會利用其漏洞進行攻擊。
根據(jù)最近的一項調(diào)查,只有5%的安全運營中心能夠了解他們需要看到的一切。那么最大的盲點是什么?沒有產(chǎn)生可輸入安全信息和事件管理系統(tǒng)的事件的遺留應用程序。在Exabeam公司的2019年安全監(jiān)控中心(SOC)狀態(tài)調(diào)查報告中,接受調(diào)查的45%的安全專業(yè)人士這樣認為。
另一項由調(diào)研機構(gòu)波洛蒙研究所在今年10月發(fā)布的安全調(diào)查顯示,有56%的公司表示缺乏可見性是造成數(shù)據(jù)泄露的主要原因。
一些IT團隊由于擔心會破壞原有的但對業(yè)務至關重要的系統(tǒng)而不想使用它們,有些團隊沒有資源來解決這些項目,也無法說服企業(yè)高級管理層將其作為頭等大事。還有一些人可能根本不知道其基礎設施中的遺留系統(tǒng)以及相關的風險。
Kennedy說,“我不認為企業(yè)董事會或高級管理人員了解這些遺留應用程序老化所帶來的風險。但是眾所周知的EternalBlue和WannaCry等網(wǎng)絡攻擊事件大多數(shù)針對的是舊版Windows操作系統(tǒng)的漏洞進行的。”
現(xiàn)在應該修復未損壞的內(nèi)容
在安全性成為當今企業(yè)關注的焦點之前,已經(jīng)創(chuàng)建了一些軟件,有些是針對未暴露于公共互聯(lián)網(wǎng)的環(huán)境而設計的。
總部位于休斯頓的網(wǎng)絡安全廠商Alert Logic公司威脅情報產(chǎn)品副總裁Rohit Dhamankar表示,要解決此問題,需要深入研究應用程序,并添加所需的日志記錄基礎設施。
他表示,對于一些較舊的系統(tǒng),最初的開發(fā)人員可能已經(jīng)離職,而對代碼的處理可能會造成破壞。假設任務關鍵型應用程序由數(shù)據(jù)中心的一小部分人使用。如果最初的開發(fā)人員離職,可能沒有人會想采用這個軟件。忽略原有操作系統(tǒng)的背后機制是相似的。由于升級操作系統(tǒng)可能會破壞正在運行的至關重要的應用程序,因此沒有人愿意處理。這就是為什么在數(shù)據(jù)中心中仍使用許多過時的操作系統(tǒng)的部分原因。
他說,“大多數(shù)公司仍在使用到2020年不再支持其環(huán)境中的操作系統(tǒng)。人們?nèi)匀辉?008年配置的Windows服務器上運行程序。這是一個主要的問題,微軟公司不會再提供補丁。用戶沒有任何東西可以保護正在構(gòu)建的Microsoft應用程序堆棧。”而這里最典型的是金融應用程序,老舊工資系統(tǒng)以及遺留Web應用程序。
Dhamankar說:“在Linux操作系統(tǒng)方面我們也有相同的看法。有些應用程序是在Apache或Jboss上構(gòu)建的,但運行的Linux版本確實已過時了,例如Linux2.6版已經(jīng)停止支持三年了。與此同時,這些操作系統(tǒng)可能具有已知的易于利用的嚴重漏洞。這就是數(shù)據(jù)中心經(jīng)理正在處理的事情。”
Dhamankar表示,“擺脫遺留應用程序就像開展一個工程項目一樣繁瑣。需要重新構(gòu)建應用程序或創(chuàng)建新的應用程序,并確保新功能在離開遺留應用程序之前可以正常工作。但這可能很難。很多人并不想重建已經(jīng)存在的東西,例如舊版應用程序。此外,很多企業(yè)正在尋求投資回報率,或者關注是什么能夠吸引更多的客戶。如果數(shù)據(jù)中心或安全人員的工作能力不強,并且只向企業(yè)管理人員簡單介紹業(yè)務案例,那么這些遺留項目往往不會獲得資金支持。”
如果無法解決,需要緩解
遺留應用程序最終將會退出,但在此之前,數(shù)據(jù)中心管理可以采取一些措施來將風險降到最低。例如,如果遺留應用程序只被內(nèi)部用戶使用,那么它所在的系統(tǒng)應該被隔離。
Dhamankar建議說,“確保特定系統(tǒng)無法從互聯(lián)網(wǎng)或不需要訪問該系統(tǒng)的公司部門訪問,以及確定哪些人可以訪問遺留應用程序,這是采取的一些有效的緩解措施。”
如果遺留應用程序需要互聯(lián)網(wǎng)訪問,則企業(yè)可以使用防火墻來阻止最常見的攻擊類型,例如SQL注入或跨站點腳本,或者應用白名單規(guī)則,以便只有一小部分經(jīng)過批準的程序可以通過。也可以在主機系統(tǒng)上設置白名單?;蛘呖梢圆捎帽镜卮淼男问?,該代理僅允許遺留應用程序在該環(huán)境中運行,只能執(zhí)行某些命令,而不能執(zhí)行其他操作。
Dhamankar說,“但這可能有風險。如果遺留應用程序比較脆弱的話,那么在其環(huán)境中添加新功能(如日志記錄或白名單)就有可能造成破壞。”
AttackIQ公司的Kennedy表示,在某些情況下,其他步驟可能包括購買對已停止使用操作系統(tǒng)的第三方支持,例如微軟公司的擴展安全補丁支持。
歸根結(jié)底,遺留應用程序的安全性問題不應僅由安全團隊承擔。
Illumio公司的Glenn說:“企業(yè)給安全監(jiān)控中心(SOC)施加了太多壓力,而對擁有遺留應用程序服務的人員卻沒有給予足夠的壓力。很明顯在出了問題之后,安全團隊有責任介入取證,但負責應用程序運行的是應用程序的所有者。為了了解這些應用程序如何工作并獲取安全性所需的日志,這兩個團隊應該一起工作。”
他指出,“這些團隊應該緊密結(jié)合,這是因為許多遺留應用程序通常都是最關鍵的程序。”
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號