根據(jù)一項新研究，每16個IT資產(chǎn)中就有一個已達到生命周期終點階段，這可能會使企業(yè)暴露于已知但未修補的漏洞中。

這一數(shù)據(jù)來源于對Sevco客戶和潛在客戶網(wǎng)絡(luò)中120萬個IT資產(chǎn)（包括服務(wù)器和設(shè)備）可見性聚合的原始數(shù)據(jù)分析。

Sevco的研究不僅發(fā)現(xiàn)6%的資產(chǎn)已達到生命周期終點，還發(fā)現(xiàn)28%的IT資產(chǎn)缺少至少一種關(guān)鍵控制——終端保護或補丁管理。

第三方專家表示，過時軟件和影子IT系統(tǒng)（未經(jīng)IT部門管理和控制的員工使用的非授權(quán)技術(shù)）帶來的問題正在增加。

在影子IT中

“暴露在互聯(lián)網(wǎng)中的非標準、未管理的設(shè)備的數(shù)量和可用性正成倍增長，這些設(shè)備通常由非安全意識的用戶配置，”Forescout的安全情報副總裁Rik Ferguson表示，“這些設(shè)備通常沒有傳統(tǒng)IT資產(chǎn)那么安全或可見，仍然特別容易受到攻擊?！?/p>

上個月，一名威脅行為者被發(fā)現(xiàn)試圖出售對大型云安全公司Zscaler的訪問權(quán)限。經(jīng)過調(diào)查，Zscaler發(fā)現(xiàn)了一個不在其核心基礎(chǔ)設(shè)施上的測試服務(wù)器。

2023年發(fā)生的Okta攻擊被歸因于未經(jīng)授權(quán)的IT系統(tǒng)使用，企業(yè)憑證被保存到個人Google賬戶，然后工作筆記本電腦感染了惡意軟件，這突顯了影子IT如何導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。

生命周期結(jié)束——但風險未結(jié)束

過時軟件通過增加攻擊面和使組織更容易受到攻擊而構(gòu)成重大風險。

例如，2018年針對英國航空公司的一次高調(diào)攻擊中，一個過時的JavaScript版本是一個促成因素。2017年臭名昭著的WannaCry惡意軟件暴露了英國醫(yī)院和其他地方過時的Windows XP系統(tǒng)的風險。

供應(yīng)商認為已達到生命周期終點（EOL）的IT資產(chǎn)不再受益于常規(guī)軟件更新或安全補丁，除非支付額外費用以獲得擴展支持。例如，當Windows 10在2025年10月達到生命周期終點后，為一臺PC提供三年的擴展安全更新的基本費用將是427美元，這略低于2023年為Windows 7 PC提供補丁的490美元。盡管企業(yè)可能會獲得更好的定價，但一些資金緊張的組織決定冒險也就不足為奇了。

KnowBe4的首席安全意識倡導(dǎo)者Javvad Malik表示：“過時軟件的最大風險在于那些歷史上未連接到互聯(lián)網(wǎng)的領(lǐng)域。因此，像醫(yī)院或關(guān)鍵基礎(chǔ)設(shè)施這樣的地方通常會運行過時的軟件?！?/p>

ImmuniWeb的CEO Ilia Kolochenko認為，影子IT和過時軟件的問題是“深度交織在一起的”。

“為了應(yīng)對影子IT帶來的風險，企業(yè)應(yīng)該維護并持續(xù)更新所有系統(tǒng)、軟件、用戶、賬戶、數(shù)據(jù)以及有任何訪問企業(yè)數(shù)據(jù)權(quán)限的第三方的全面清單，”ImmuniWeb的Kolochenko告訴CSOonline.com。

有時，即使是正式批準的IT系統(tǒng)也沒有及時更新，例如那些沒有足夠補丁管理系統(tǒng)的系統(tǒng)，這些系統(tǒng)在Sevco研究中被發(fā)現(xiàn)。

例如，2017年Equifax數(shù)據(jù)大劫案就是因為一個未打補丁但完全可以打補丁的Apache Struts實例。

專家一致認為，企業(yè)需要進行徹底的審計和風險評估。最好的防御措施包括嚴格的配置管理、軟件物料清單跟蹤、安全意識培訓(xùn)以及限制可安裝的內(nèi)容。

“With Secure威脅情報總監(jiān)Tim West表示：“了解你的攻擊面并定期進行外部資產(chǎn)映射練習至關(guān)重要。需要注意的是，答案不僅僅是技術(shù)層面的。影子IT背后還有一個人為因素以及它發(fā)生的原因。培訓(xùn)并確?，F(xiàn)有流程滿足員工需求也同樣重要?！?/p>

ImmuniWeb的Kolochenko補充道：“即使是經(jīng)驗豐富的軟件開發(fā)人員，有時也會不小心在云中部署一個容器，里面有生產(chǎn)數(shù)據(jù)，用來實驗一些新功能，最后卻忘記了，更不用說那些用家用電腦或移動設(shè)備處理業(yè)務(wù)的非技術(shù)用戶了?！?/p>