這一數據來源于對Sevco客戶和潛在客戶網絡中120萬個IT資產(包括服務器和設備)可見性聚合的原始數據分析。
Sevco的研究不僅發現6%的資產已達到生命周期終點,還發現28%的IT資產缺少至少一種關鍵控制——終端保護或補丁管理。
第三方專家表示,過時軟件和影子IT系統(未經IT部門管理和控制的員工使用的非授權技術)帶來的問題正在增加。
在影子IT中
“暴露在互聯網中的非標準、未管理的設備的數量和可用性正成倍增長,這些設備通常由非安全意識的用戶配置,”Forescout的安全情報副總裁Rik Ferguson表示,“這些設備通常沒有傳統IT資產那么安全或可見,仍然特別容易受到攻擊。”
上個月,一名威脅行為者被發現試圖出售對大型云安全公司Zscaler的訪問權限。經過調查,Zscaler發現了一個不在其核心基礎設施上的測試服務器。
2023年發生的Okta攻擊被歸因于未經授權的IT系統使用,企業憑證被保存到個人Google賬戶,然后工作筆記本電腦感染了惡意軟件,這突顯了影子IT如何導致未經授權的訪問和潛在的數據泄露。
生命周期結束——但風險未結束
過時軟件通過增加攻擊面和使組織更容易受到攻擊而構成重大風險。
例如,2018年針對英國航空公司的一次高調攻擊中,一個過時的JavaScript版本是一個促成因素。2017年臭名昭著的WannaCry惡意軟件暴露了英國醫院和其他地方過時的Windows XP系統的風險。
供應商認為已達到生命周期終點(EOL)的IT資產不再受益于常規軟件更新或安全補丁,除非支付額外費用以獲得擴展支持。例如,當Windows 10在2025年10月達到生命周期終點后,為一臺PC提供三年的擴展安全更新的基本費用將是427美元,這略低于2023年為Windows 7 PC提供補丁的490美元。盡管企業可能會獲得更好的定價,但一些資金緊張的組織決定冒險也就不足為奇了。
KnowBe4的首席安全意識倡導者Javvad Malik表示:“過時軟件的最大風險在于那些歷史上未連接到互聯網的領域。因此,像醫院或關鍵基礎設施這樣的地方通常會運行過時的軟件。”
ImmuniWeb的CEO Ilia Kolochenko認為,影子IT和過時軟件的問題是“深度交織在一起的”。
“為了應對影子IT帶來的風險,企業應該維護并持續更新所有系統、軟件、用戶、賬戶、數據以及有任何訪問企業數據權限的第三方的全面清單,”ImmuniWeb的Kolochenko告訴CSOonline.com。
有時,即使是正式批準的IT系統也沒有及時更新,例如那些沒有足夠補丁管理系統的系統,這些系統在Sevco研究中被發現。
例如,2017年Equifax數據大劫案就是因為一個未打補丁但完全可以打補丁的Apache Struts實例。
專家一致認為,企業需要進行徹底的審計和風險評估。最好的防御措施包括嚴格的配置管理、軟件物料清單跟蹤、安全意識培訓以及限制可安裝的內容。
“With Secure威脅情報總監Tim West表示:“了解你的攻擊面并定期進行外部資產映射練習至關重要。需要注意的是,答案不僅僅是技術層面的。影子IT背后還有一個人為因素以及它發生的原因。培訓并確?,F有流程滿足員工需求也同樣重要。”
ImmuniWeb的Kolochenko補充道:“即使是經驗豐富的軟件開發人員,有時也會不小心在云中部署一個容器,里面有生產數據,用來實驗一些新功能,最后卻忘記了,更不用說那些用家用電腦或移動設備處理業務的非技術用戶了。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號