有效保護(hù)企業(yè)IT資源需要修復(fù)漏洞、備份和良好的網(wǎng)絡(luò)保護(hù)。修復(fù)漏洞就像正確飲食一樣，需要不斷努力，有時(shí)候需要權(quán)衡。通常情況下，企業(yè)需要對(duì)部署補(bǔ)丁進(jìn)行權(quán)衡，而軟件開(kāi)發(fā)人員也需要權(quán)衡修復(fù)什么以及什么時(shí)候應(yīng)該完成。

前不久，在考慮修復(fù)Windows XP來(lái)解決Shadow Brokers公布的漏洞時(shí)，微軟也不得不做出權(quán)衡。該軟件巨頭在今年早些時(shí)候在Equation Group漏洞利用被用于重大勒索軟件攻擊后，推出針對(duì)舊操作系統(tǒng)的補(bǔ)丁，包括Windows XP、Windows Vista和Windows Server 2003。

在這篇文章中，我們將探討微軟開(kāi)發(fā)這些Windows XP補(bǔ)丁的權(quán)衡以及企業(yè)的不同響應(yīng)。

Windows XP修復(fù)：需權(quán)衡

國(guó)家級(jí)攻擊工具和漏洞利用很少能被普通罪犯利用，但隨著Shadow Brokers發(fā)布漏洞利用，這種風(fēng)險(xiǎn)分析也發(fā)生變化。

需要注意的是，第三方安全研究人員已經(jīng)發(fā)現(xiàn)這種攻擊。即使只發(fā)布有關(guān)漏洞的最少細(xì)節(jié)信息，其他安全研究人員也可能發(fā)現(xiàn)美國(guó)國(guó)家安全局（NSA）發(fā)現(xiàn)的漏洞。

Shadow Brokers銷(xiāo)售來(lái)自NSA的漏洞利用，這不是微軟或其他任何軟件供應(yīng)商在開(kāi)發(fā)其支持生命周期策略時(shí)所能預(yù)料到的。

一旦漏洞被公開(kāi)，我們就應(yīng)該假定它會(huì)被攻擊者利用。微軟必須仔細(xì)權(quán)衡開(kāi)發(fā)補(bǔ)丁的好處和成本，在這種特定情況下，該漏洞包含可能被廣泛使用的遠(yuǎn)程代碼執(zhí)行漏洞。這可能是驅(qū)使微軟為其較舊的不受支持的操作系統(tǒng)發(fā)布補(bǔ)丁的原因。但是，發(fā)布Windows XP補(bǔ)丁可能會(huì)延長(zhǎng)企業(yè)對(duì)這些不受支持操作系統(tǒng)的使用，并給用戶(hù)一種錯(cuò)誤的安全感。

企業(yè)的響應(yīng)

企業(yè)的第一步是利用現(xiàn)在可用于Windows XP/2003的新漏洞利用數(shù)據(jù)更新其風(fēng)險(xiǎn)分析。這可幫助他們確定其更換Windows XP/2003的計(jì)劃是否符合其企業(yè)風(fēng)險(xiǎn)承受水平，并確保他們正在運(yùn)行其供應(yīng)商支持的軟件。否則，他們可能需要投入更多資源來(lái)替換Windows XP/2003系統(tǒng)。

下一步是推送補(bǔ)丁到所有仍然聯(lián)網(wǎng)的Windows XP/2003系統(tǒng)，考慮到風(fēng)險(xiǎn)問(wèn)題，這可與第一步同時(shí)進(jìn)行。對(duì)于必須在其網(wǎng)絡(luò)使用Windows XP/2003系統(tǒng)的企業(yè)，他們可能需要部署其他補(bǔ)充性控制來(lái)解決這些風(fēng)險(xiǎn)，但這也會(huì)增加維護(hù)這些系統(tǒng)的運(yùn)營(yíng)成本。

這些新補(bǔ)丁可能不會(huì)鼓勵(lì)客戶(hù)繼續(xù)使用Windows XP/2003，因?yàn)橥ㄟ^(guò)部署這些補(bǔ)丁并不能完全解決風(fēng)險(xiǎn)。有些系統(tǒng)可能還無(wú)法部署補(bǔ)丁，面臨巨大風(fēng)險(xiǎn)。

那些必須繼續(xù)使用不受支持系統(tǒng)的企業(yè)可能希望將這些系統(tǒng)從網(wǎng)絡(luò)移除，或者至少將它們放在隔離網(wǎng)絡(luò)中，只允許對(duì)絕對(duì)必要的系統(tǒng)提供受限的外部訪(fǎng)問(wèn)。這將會(huì)增加支持成本并降低這些系統(tǒng)的功能；然而，這可能會(huì)促使企業(yè)替換這些系統(tǒng)。

有些企業(yè)可能需要使用由運(yùn)行Windows XP/2003的計(jì)算機(jī)控制的設(shè)備或系統(tǒng)，這些企業(yè)應(yīng)強(qiáng)制要求供應(yīng)商支持來(lái)自原始供應(yīng)商的當(dāng)前操作系統(tǒng)。如果企業(yè)不對(duì)供應(yīng)商提出這一要求，他們可能會(huì)繼續(xù)陷入這樣的困境。

結(jié)論

軟件開(kāi)發(fā)人員希望限制其軟件的版本數(shù)量以減少很多其他的成本，同時(shí)確保資源可用于開(kāi)發(fā)新版本。微軟也不例外，在向客戶(hù)發(fā)布Windows XP補(bǔ)丁之前他們也仔細(xì)權(quán)衡了這些問(wèn)題。

企業(yè)還希望最大限度降低成本，可能會(huì)延遲推出新系統(tǒng)來(lái)管理這些成本，但如果運(yùn)營(yíng)成本大幅增加，受攻擊風(fēng)險(xiǎn)增加，那么這可能會(huì)使企業(yè)加快部署新系統(tǒng)的步伐。企業(yè)應(yīng)該借助微軟的資源來(lái)確保其系統(tǒng)得到充分保護(hù)。