如何保護具有歷史的IT系統

在嵌入式方案、醫療設備和精密儀器的領域內仍然有不少具歷史的系統在苦苦掙扎,缺乏更新的軟件絕對是網絡攻擊的天堂,但更新卻伴隨著大量支出與影響業務流程的風險,令堵塞安全漏洞變得複雜,不過問題並非沒有解決的方法。

更新的風險

很多系統已經順暢地運作多年,部份甚至數十年,系統沒有被更新是因為擁有者怕更新令系統發生不可挽回的情況,而這種恐懼並非無中生有,初次安裝和設定系統的人可能已經退休,記錄可能已經丟失或從來沒有出現過,例如美國國稅局仍然在使用1970年代的電腦和以快將死亡的COBOL語言的程式,可能是因為硬件供應商已經出售、被接管、關門或破產等原因,各種極端的情況確實存在。就這種情況,根本無法進行更新。

此外,長期服務的硬內與其他公司系統組成了連結,這些互連可能被掩蓋或記錄不足,結果導致系統關閉能引起其他系統發生其他系統故障或骨牌效應,不但難以預計及防範,恢復這些事故可能需時數天或數週,停機時間的成本可以很鉅大。

有限升級成本

即使系統沒有太多互連和有良好的記錄,更新高昂成本也可以令人卻步,例如要讓MRI機器的老系統退役便需要購買新裝置,成本涉及半百萬美元之高,而且還有運輸、裝嵌以及特殊的環境裝修等等,牽涉到的已超出IT更新的範圍範而是一個重要的建築工程,如果舊設備的系統與軟件都時代久遠,更換硬件的同時也需要朱新編碼或購買新軟件,變成了一個漫長而昂貴的項目。

補償措施

就如古董車和名畫一樣都需要特別的保護,不能取代或完全升級的系統也需要特別的維護方法,盡可能減少被攻擊的機會,以下是一些保護老舊IT系統的補償措施:

網絡分割

把有潛在漏同的舊裝置分隔分到其他網絡能降低被網絡攻擊的風險,進行高度的隔離,包括物理從網絡隔離和開關設施,如果不可行,謹記定期檢查防火牆和路由器的設定以從普通的網絡中隔離開,而且追蹤員工常見的違規行為也很重要,例如從一台電腦存取分享的網絡和隔離網絡。

加密

如果系統以過時的協議與其他電腦進行資料交換,建議建立以最新的加密和認證算法的VPN管道,並封鎖管道外的交換行為。

更新

儘管無法更新到現代系統,但不代表不能更新任何更新,把核心軟件逐步更新到現有的最新版本,對已安裝的保護系統進行定期數據庫更新比封存更加可取。

微分割的處理

如果在老舊系統上的業務流程能夠拆細,最好就把能搬走的定搬到新設備上,只留下不能轉移的部份,即使只移走部份工作到現代可更新的平台,也能令保護舊系統的工作變得容易。

封閉式應用程式清單

上一步把舊設備上執行的工作範圍降至最低,相關的應用程式與流程可加到允許清單,並把其他應用程式和流程加到拒絕清單,可以更進一步減低惡意程式或第三邊軟件影響系統穩定的風險,這種「default deny」的方式可以用到特殊的保安方案,並在有限資源的系統上運作。

虛擬化

把在老舊硬件上運行的老舊的軟件換到虛擬機器上,可能是一箭雙鵰的解決方法,至少能更新硬件之餘,在虛擬系統或host system層面再進行一些補償措施(例如現代的存取控制和加密),即使是十分老舊的資料處理系統也有可能良好地運作。

最少化存取和特權

把存取老舊設備(更準確地指電腦硬件)的員工數量和持有的特權減至最少,如果系統架構不容許需要的權限或用戶配置,可嘗試在較早存取階段(登錄VPN或虛擬機器時)實施限制,或純管理考量進行存取限制。

不過以上措施都需要仔細評估每項的適用性,以及技術的順暢與安全操作的風險。

面向未來

把補償措施應用到老舊設施上並非單純的資安工作,資安專家要擁有公司廢棄設備的完整列表,並追蹤何時因業務需要而開始更換,並以最新安全要求進行升級,更重要的是,需要確保今年新增的系統他日需要廢棄時,不會面對相同的困難,因此在購買硬件和軟件時,都需要考慮到資安的要求,定期和鬆鬆地更新軟件組件,臭蟲和漏洞的記錄,最理想是從設計時已加入安全的概代。

對於in-house或open-source開發的軟件,對代碼記錄設定單格要求至關重要,最理想情況下,其產生應該像自動測試一樣成為DevSecOps管道的一部份。

資料來源:Kaspersky Blog