博客

Windows 7的末日来了. 你应该担心多少?

艾伦Sundra 美国副总裁,系统工程,欧博allbet网址技术 | 2020年1月14日,

推特: @LNSundra

每隔几年, 微软(Microsoft)宣布其一款较老的Windows操作系统的寿终正,在整个行业引发了一些恐慌. 好吧, 今天是Windows 7的“末日”, 这意味着当发现安全漏洞时,微软将不再定期更新系统补丁. 微软已经敦促消费者和企业用户将他们的系统升级到最新的操作系统:Windows 10.

现在截止日期到了,问题变成了:这是多大的安全威胁? 我们已经看到了现实世界中的攻击,这些攻击可能来自过时操作系统中未修补的漏洞. 组织选择对冲风险而不升级也有充分的理由. 最终, 这是一场关于风险的对话, ,更具体地说, 面对潜在的昂贵或复杂的升级,组织愿意承担多大的风险.

“想哭”(WannaCry)是一个完美的例子,说明了未修复的破坏性影响, 过时的操作系统可以有. 这次攻击利用了永恒之蓝的漏洞作为切入点, 然后在组织中横向传播. 微软发布了一个补丁, 但那些没有应用它或运行过时操作系统的组织, 像Windows XP, 仍然是脆弱的. “想哭”病毒继续感染世界各地各种规模和行业的公司, 造成了数百万美元的损失. 在某些情况下, 组织甚至没有意识到他们的操作仍然依赖于Windows XP, 直到一台受影响的机器在某处被劫持, 造成中断. 微软最终介入并发布了一个不同寻常的操作系统紧急补丁.

仍然近似为0.在欧博allbet网址设备云的1000万台设备中,运行Windows XP的设备占1%, 一个匿名的存储库,在世界各地的企业运行的设备上的实时数据. 虽然这个比例可能看起来很小, 它仍然意味着至少10个,000个设备可能会让一个组织变得脆弱, 再加上这个数据仅仅代表了整个行业的一个样本. 这令人震惊,因为几个月前,有关“想哭”(WannaCry)等利用旧操作系统已知漏洞的攻击的新闻报道不断. 在去年, 欧博allbet网址已经在我们80%的新客户中发现了至少一个容易受到WannaCry攻击的设备. 和, 如我们所见, 一个糟糕的参与者只需一个入口点就可以找到进入组织的方法.

另一方面, 有多种因素会导致组织拒绝升级, 即使操作系统存在安全隐患. 例如, 该设备可能运行的关键软件无法在最新版本的Windows上正常运行. 如果该软件对业务功能至关重要, 然后,您必须权衡遗留操作系统可能带来的安全风险. 此外,更新这些系统也可能使设备或软件的保修失效.

这在医疗等专业行业尤为普遍, 哪些设备可能运行操作系统的修改版本. 到目前为止,该行业运行Windows 7的设备的比例是所有行业中最高的, 根据欧博allbet网址设备云, 医疗机构中超过10%的设备运行该系统. 其次是政府部门、金融业和娱乐业.

组织还需要考虑更新中涉及的潜在停机时间. 尽管我们希望这些系统能够即时更新, 实际上,每台设备可能需要几个小时甚至几个月的时间. 这可能会让一些人感到烦恼, 但如果它是公用事业公司的关键设备或医院的救生设备, 停机时间可能会带来问题,甚至是灾难性的后果.

随着PC上硬件和软件的更新速度加快, 移动和其他平台, 安全性变得更像是一种“变更管理”——决定在哪里部署哪些更新以及为什么要这样做. 对于CISOs, 甚至只是在家里运行Windows 7的消费者, 这是一个关于风险的对话. 他们需要权衡最新操作系统带来的网络安全利益与升级现有系统带来的挑战. 如果他们接受不支持操作系统的风险, 然后,他们还应该考虑帮助他们减轻或平衡风险的工具.

值得注意的是, 也, 一个操作系统的生命终结, 即使是像Windows 7这样广泛使用的操作系统, 这并不意味着未打补丁的设备就会导致数据泄露. 但如果没有持续的安全更新,未修补漏洞的数量将继续增长, 随着时间的推移,任何过时的设备都会给组织带来越来越大的风险. 拥有这些漏洞并不能确保组织一定会受到攻击, 但这确实使它更有可能.