監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

老軟件蘊(yùn)藏大威脅 警惕拖延升級的安全隱患

申請免費(fèi)試用、咨詢電話:400-8352-114

正式展開討論軟件升級這個問題之前,我們不妨先看一個實(shí)例:微軟公司去年曾單獨(dú)推出過一個網(wǎng)站,旨在號召用戶徹底停止使用IE 6這款于十多年前(2001年)推出的“老爺級”瀏覽器產(chǎn)品。網(wǎng)站上打出了“真正的朋友不會坐視您繼續(xù)使用IE6”這樣鮮明的宣傳語,同時不遺余力地鼓勵用戶轉(zhuǎn)而使用更現(xiàn)代、更安全的新版本瀏覽器。

此番努力目前取得的成效仍然有限:時至今日,依舊有6%以上的互聯(lián)網(wǎng)用戶(在中國這一數(shù)字則高達(dá)22%)繼續(xù)通過IE6訪問網(wǎng)絡(luò)。而這款瀏覽器已經(jīng)作為“目前還在服役的安全性最差的方案”而飽受譏諷(這種尖刻的評價甚至也已經(jīng)是六年前的事情)。

在企業(yè)方面,情況則更是不容樂觀。根據(jù)2009年Forrester研究公司組織的調(diào)查,仍然有60%的企業(yè)在使用IE 6瀏覽器。

作為一家大型軟件企業(yè),當(dāng)微軟公司自己都認(rèn)為有必要做出努力勸阻用戶使用其旗下的某款產(chǎn)品時,這種使用習(xí)慣的危害及其中蘊(yùn)藏的安全風(fēng)險自然已經(jīng)嚴(yán)重到不容妥協(xié)的地步。

IE 6的真實(shí)經(jīng)歷只是一些所謂的“老軟件“——或者叫做遺留軟件——整體的一部分縮影和寫照。為什么用戶及企業(yè)會如此偏愛老軟件并長時間堅持使用?為什么使用老軟件會令自己面臨越來越多的安全威脅?我們又能夠做點(diǎn)什么來緩和這些風(fēng)險呢?(我們會在接下來的內(nèi)容中對這些話題詳加討論,不過在此之前請各位確認(rèn)自己不是在用IE6閱讀這篇文章:)

難以清除的遺留軟件

盡管技術(shù)市場的運(yùn)轉(zhuǎn)周期很短、產(chǎn)品更新?lián)Q代速度極快,但某些軟件似乎有種可怕的生命力,即使已經(jīng)遠(yuǎn)遠(yuǎn)超出了它們的最終使用期限,我們?nèi)匀缓茈y將它們從用戶的設(shè)備中徹底清除??傮w來說,遺留軟件生命力頑強(qiáng)的理由包括以下幾個方面:

前期投入。用戶已經(jīng)為產(chǎn)品支付過一筆款項(xiàng),所以自然會希望能夠盡量延長該產(chǎn)品的使用周期,借以降低使用成本。

培訓(xùn)開支。企業(yè)中的員工已經(jīng)為學(xué)習(xí)產(chǎn)品的使用付出了相應(yīng)的時間與精力(以及其它潛在資本),這一前提導(dǎo)致了人們很難對需要再次進(jìn)行技能學(xué)習(xí)的新事物主動產(chǎn)生興趣。

對技術(shù)支持的依賴。遺留軟件往往能夠與遺留系統(tǒng)協(xié)作良好,而一旦要對軟件進(jìn)行升級,陳舊的系統(tǒng)常會帶來額外的拖累,而企業(yè)對于系統(tǒng)更新的工作向來是能拖則拖。舉例來說,最新的Adobe Premiere Pro CS6需要運(yùn)行在64位版本的Windows系統(tǒng)下,那么仍然在使用32位Windows系統(tǒng)的企業(yè)由于不想為此而對整套平臺進(jìn)行更新?lián)Q代,自然會傾向于繼續(xù)用Premiere Pro舊版本湊合湊合。

對遺留產(chǎn)品的高度依賴。企業(yè)用戶很可能已經(jīng)圍繞遺留軟件建立起了完整的業(yè)務(wù)運(yùn)轉(zhuǎn)機(jī)制,一旦放棄原有架構(gòu)并重新建立內(nèi)部軟件定制組合,不僅會給企業(yè)帶來未知的新風(fēng)險,更會給業(yè)務(wù)帶來巨大的負(fù)面影響。IE 6就是這樣一個典型的例子:許多企業(yè)都擁有定制型內(nèi)部網(wǎng)絡(luò),而在這一領(lǐng)域那些最新版本的瀏覽器其實(shí)沒什么吸引力,反倒是IE 6這樣的古董既方便快捷又深入人心。

當(dāng)然,上述這些條目遠(yuǎn)遠(yuǎn)不足以彌補(bǔ)遺留軟件所帶來的負(fù)面作用,我們首先要認(rèn)清一個現(xiàn)實(shí):使用遺留軟件本身絕對是種錯誤。而作為企業(yè)用戶,最值得認(rèn)真考量的問題就是遺留軟件中所隱藏的安全漏洞。

風(fēng)險大于收益

繼續(xù)使用遺留軟件能夠節(jié)約時間與財力的投入,這從表面上來看算得上是一種企業(yè)收益,但這種收益其實(shí)只是幻覺。一個早已被解決的安全漏洞很可能仍然潛伏在遺留軟件中,并給企業(yè)帶來災(zāi)難性后果,這種情況一旦發(fā)生,所造成的時間與財力投入肯定遠(yuǎn)遠(yuǎn)超過維護(hù)最新軟件版本。舉例來說,目前社保卡及信用卡信息泄露事件所造成的損失平均都在700萬美元以上,相信任何一家企業(yè)都不希望這種狀況發(fā)生在自己身上。

軟件產(chǎn)品都不完美,即使是最新技術(shù)也無法徹底避免安全隱患。事實(shí)上,這有時候甚至成為讓遺留軟件繼續(xù)效力的一大有力理由——新產(chǎn)品可能包含更多未知及還沒有被發(fā)現(xiàn)的安全問題,因此相比之下還是成熟而完善的老版本更加可靠。聽起來似乎有一定道理,但隨著時間的推移,遺留軟件中的問題會在得不到持續(xù)更新的情況下變得愈發(fā)惡化。

下面我們就來聊聊遺留軟件產(chǎn)品中那些最觸目驚心的風(fēng)險:

缺乏來自供應(yīng)商的支持。要始終為產(chǎn)品提供良好的更新服務(wù),供應(yīng)商必須堅持投入維護(hù)資金。而任何一款產(chǎn)品在邁向使用周期的盡頭后,都不可避免地失去來自供應(yīng)商的支持,同時自身的許多安全漏洞仍然沒能得到有效修復(fù)。我們完全可以理解,供應(yīng)商會偏向于將資源集中在開發(fā)更多新版本軟件方面,作為企業(yè),推廣新產(chǎn)品永遠(yuǎn)比維護(hù)舊產(chǎn)品更重要。

對安全威脅的前瞻性較差。顧名思義,遺留軟件誕生的年代與現(xiàn)在相比,在對安全威脅的前瞻性方面必然相形見絀。大多數(shù)技術(shù)的出現(xiàn)都是由那些致力于入侵系統(tǒng)的黑客們所促成,而安全專家們?yōu)榇酥贫ǔ龅谋Wo(hù)策略則始終與時俱進(jìn)——換言之,越陳舊的產(chǎn)品中蘊(yùn)含的安保思想就越過時??梢钥隙ǖ卣f,遺留軟件中的安全保護(hù)機(jī)制要遠(yuǎn)遠(yuǎn)遜色于當(dāng)今的技術(shù)。十年后的軟件必然在構(gòu)思方式上優(yōu)于目前,而站在今天的高度回望十年前的老產(chǎn)品同樣會有“尚能飯否”的感慨。

代碼重復(fù)利用。大多數(shù)軟件產(chǎn)品都會從系列老版本或其它產(chǎn)品中借用一定數(shù)量的代碼,也就是說遺留軟件中甚至可能包含一些比自身更古老的安全威脅。

廣為人知的安全缺口。一旦我們在軟件中發(fā)現(xiàn)了安全漏洞,這些內(nèi)容會被立即公布出來警示業(yè)界,進(jìn)而讓專家們找到合適的方法通過補(bǔ)丁加以彌補(bǔ)或修復(fù)。但這種流程同樣暴露在黑客的眼皮底下,他們能夠從中學(xué)習(xí)到更多攻擊經(jīng)驗(yàn)并掌握多年來的各類主流安全漏洞。可以說黑客們已經(jīng)針對遺留軟件中的安全問題學(xué)習(xí)、揣摩并實(shí)踐了多年,這段充裕的時間令陳舊產(chǎn)品在他們的面前簡直不堪一擊。

補(bǔ)丁更新滯后。與上一條威脅相對應(yīng),許多企業(yè)往往不會在供應(yīng)商發(fā)布安全補(bǔ)丁后,第一時間進(jìn)行積極部署。這就使得遺留產(chǎn)品在拖延的這段時間中處于嚴(yán)重的安全風(fēng)險之下,而拖的時間越長,了解并熟悉這些安全漏洞的惡意人士就越多,那么企業(yè)的也就越可能遭受嚴(yán)重的經(jīng)濟(jì)損失。

日益完善的黑客工具。當(dāng)一款新產(chǎn)品出現(xiàn)安全漏洞時,能夠成功利用它并實(shí)施攻擊的往往只有最精明、技術(shù)力量最強(qiáng)的頂級黑客。但隨著時間的推移,黑客工具包會不斷吸納最新最有效的小東西,而這種提升甚至?xí)尭鄤倓側(cè)腴T的家伙嘗到惡意入侵的甜頭。目前廣為流傳的主流黑客工具包已經(jīng)非常傻瓜,其中甚至提供了友好的用戶界面以及在線教程指導(dǎo),沒準(zhǔn)再過幾年會用辦公軟件的人都能學(xué)會如何扮演黑客。

依托于不夠安全的系統(tǒng)平臺。 在某些情況下,遺留產(chǎn)品只能運(yùn)行在特定的遺留系統(tǒng)環(huán)境中。就拿QuickBooks Pro 2006來說,它無法支持Windows Vista及其后的更新系統(tǒng)版本。也就是說,即使遺留軟件本身不會來任何安全威脅,它們所要求的系統(tǒng)環(huán)境同樣有可能引發(fā)大麻煩。舉例來說,在微軟決定停止提供安全補(bǔ)丁的前提下,那些只能運(yùn)行于Windows XP平臺上的遺留軟件變相讓我們的企業(yè)陷入安全風(fēng)險當(dāng)中。

當(dāng)然,并不是所有遺留軟件都會帶來同樣級別的嚴(yán)重安全問題。在這里我要提醒大家,面向網(wǎng)絡(luò)的應(yīng)用程序由于允許異地存取或遠(yuǎn)程控制,因此通常也是最難以打理的威脅產(chǎn)生源。只要有可能,千萬別在這些領(lǐng)域使用遺留軟件。

防御戰(zhàn)略

讓我們首先明確一點(diǎn):更新永遠(yuǎn)是我們防范遺留軟件安全風(fēng)險的最佳選擇。盡管沒有任何一款產(chǎn)品敢斷言自身不存在一丁點(diǎn)安全漏洞,但新產(chǎn)品中所包含的安全理念及保護(hù)思路肯定要好于舊產(chǎn)品。也就是說,只要我們及時選擇新產(chǎn)品或安裝新補(bǔ)丁,那么在一段特定的時間內(nèi)自身就是相對安全的。等到黑客們發(fā)現(xiàn)了新版本中的弱點(diǎn),又會有新的補(bǔ)丁出現(xiàn)繼續(xù)為我們的業(yè)務(wù)保駕護(hù)航。

但有時候保持更新也沒那么容易。出于企業(yè)預(yù)算的考量或者軟件供應(yīng)商干脆沒有提供新補(bǔ)丁,都可能導(dǎo)致我們暴露在惡意人士的覬覦之下。一旦出現(xiàn)這類情況,而我們的遺留軟件又免不了要與網(wǎng)絡(luò)環(huán)境打交道,那么以下幾項(xiàng)戰(zhàn)略應(yīng)該能夠幫助大家降低安全風(fēng)險:

利用虛擬化技術(shù)進(jìn)行隔離。虛擬化技術(shù)帶來了數(shù)不清的偉大用途,而其中最重要的一條就是為高風(fēng)險平臺建立一套沙箱環(huán)境,借以將其與重要系統(tǒng)相隔離。舉例來說,大家可以利用甲骨文VirtualBox這樣的免費(fèi)軟件為遺留應(yīng)用程序提供Windows 95或者XP系統(tǒng)環(huán)境,同時又能保證現(xiàn)有現(xiàn)代化系統(tǒng)的安全。更值得稱道的是,虛擬系統(tǒng)能夠徹底切斷內(nèi)部網(wǎng)絡(luò)與外部環(huán)境的聯(lián)系,從而打造出固若金湯的企業(yè)防御體系。

虛擬補(bǔ)丁。有時候某些遺留產(chǎn)品根本沒有能夠直接用來修復(fù)或處理安全漏洞的可用補(bǔ)丁,但我們往往能夠通過所謂“虛擬補(bǔ)丁”來解決高危應(yīng)用程序中的某些已知漏洞。舉例來說,遺留數(shù)據(jù)庫產(chǎn)品很容易受到SQL注入式攻擊——就是說當(dāng)一條查詢請求發(fā)往數(shù)據(jù)庫時,攻擊者能夠通過一些小手段來偷偷修改或者竊取受保護(hù)的數(shù)據(jù)。虛擬補(bǔ)丁包括利用防火墻檢查數(shù)據(jù)包的合規(guī)性或者制定有針對性的Web服務(wù)器規(guī)則,進(jìn)而有效地尋找并檢測出SQL注入式語法,最終讓這些惡意請求在到達(dá)脆弱的遺留產(chǎn)品之前就將其攔截下來。

【本文轉(zhuǎn)載自安庫網(wǎng)】

推薦閱讀】

IT運(yùn)維管理專區(qū)

別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

IT運(yùn)維管理:企業(yè)網(wǎng)絡(luò)安全的研究措施

網(wǎng)管軟件專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:39    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開發(fā)