影子IT和过期软件如何要挟企业基础设备
依据一项新钻研,每16个IT资产中就有一个已到达生命周期终点阶段,这或者会使企业暴露于已知但未修补的破绽中。
Sevco的钻研不只发现6%的资产已到达生命周期终点,还发现28%的IT资产缺少至少一种关键控制——终端包全或补丁治理。
第三方专家示意,过期软件和影子IT系统(未经IT部门治理和控制的员工经常使用的非授权技术)带来的疑问正在参与。
在影子IT中
“暴露在互联网中的非规范、未治理的设备的数量和可用性正成倍增长,这些设备通常由非安保看法的用户性能,”Forescout的安保情报副总裁Rik Ferguson示意,“这些设备通常没有传统IT资产那么安保或可见,依然特意容易遭到攻打。”
上个月,一名要挟行为者被发现试图发售对大型云安保公司Zscaler的访问权限。经过考查,Zscaler发现了一个不在其外围基础设备上的测试主机。
2023年出现的Okta攻打被归因于未经授权的IT系统经常使用,企业凭证被保留到团体Google账户,而后上班笔记本电脑感化了恶意软件,这突显了影子IT如何造成未经授权的访问和潜在的数据暴露。
生命周期完结——但危险未完结
过期软件经过参与攻打面和使组织更容易遭到攻打而形成严重危险。
例如,2018年针对英国航空公司的一次性高调攻打中,一个过期的JavaScript版本是一个促进要素。2017年臭名昭著的WannaCry恶意软件暴露了英国医院和其余中央过期的Windows XP系统的危险。
供应商以为已到达生命周期终点(EOL)的IT资产不再受益于惯例软件降级或安保补丁,除非支付额外费用以取得裁减允许。例如,当Windows 10在2025年10月到达生命周期终点后,为一台PC提供三年的裁减安保降级的基本费用将是427美元,这略低于2023年为Windows 7 PC提供补丁的490美元。虽然企业或者会取得更好的定价,但一些资金弛缓的组织选择冒险也就无余为奇了。
KnowBe4的首席安保看法提倡者Javvad Malik示意:“过期软件的最大危险在于那些历史上未衔接到互联网的畛域。因此,像医院或关键基础设备这样的中央通常会运转过期的软件。”
ImmuniWeb的CEO Ilia Kolochenko以为,影子IT和过期软件的疑问是“深度交织在一同的”。
“为了应答影子IT带来的危险,企业应该保养并继续降级一切系统、软件、用户、账户、数据以及有任何访问企业数据权限的第三方的片面清单,”ImmuniWeb的Kolochenko通知CSOonline.com。
有时,即使是正式同意的IT系统也没有及时降级,例如那些没有足够补丁治理系统的系统,这些系统在Sevco钻研中被发现。
例如,2017年Equifax数据大劫案就是由于一个未打补丁但齐全可以打补丁的Apache Struts实例。
专家分歧以为,企业须要启动彻底的审计微危险评价。最好的进攻措施包含严厉的性能治理、软件物料清单跟踪、安保看法培训以及限度可装置的内容。
“With Secure要挟情报总监Tim West示意:“了解你的攻打面并活期启动外部资产映射练习至关关键。须要留意的是,答案不只仅是技术层面的。影子IT面前还有一团体为要素以及它出现的要素。培训并确保现有流程满足员工需求也雷同关键。”
ImmuniWeb的Kolochenko补充道:“即使是阅历丰盛的软件开发人员,有时也会不小心在云中部署一个容器,外面有消费数据,用来试验一些新性能,最后却遗记了,更不用说那些用家用电脑或移动设备处置业务的非技术用户了。”