老軟件蘊藏大威脅 警惕拖延升級的安全隱患

正式展開討論軟件升級這個問題之前，我們不妨先看一個實例：微軟公司去年曾單獨推出過一個網(wǎng)站，旨在號召用戶徹底停止使用IE 6這款于十多年前（2001年）推出的“老爺級”瀏覽器產(chǎn)品。網(wǎng)站上打出了“真正的朋友不會坐視您繼續(xù)使用IE6”這樣鮮明的宣傳語，同時不遺余力地鼓勵用戶轉(zhuǎn)而使用更現(xiàn)代、更安全的新版本瀏覽器。

此番努力目前取得的成效仍然有限：時至今日，依舊有6%以上的互聯(lián)網(wǎng)用戶（在中國這一數(shù)字則高達(dá)22%）繼續(xù)通過IE6訪問網(wǎng)絡(luò)。而這款瀏覽器已經(jīng)作為“目前還在服役的安全性最差的方案”而飽受譏諷（這種尖刻的評價甚至也已經(jīng)是六年前的事情）。

在企業(yè)方面，情況則更是不容樂觀。根據(jù)2009年Forrester研究公司組織的調(diào)查，仍然有60%的企業(yè)在使用IE 6瀏覽器。

作為一家大型軟件企業(yè)，當(dāng)微軟公司自己都認(rèn)為有必要做出努力勸阻用戶使用其旗下的某款產(chǎn)品時，這種使用習(xí)慣的危害及其中蘊藏的安全風(fēng)險自然已經(jīng)嚴(yán)重到不容妥協(xié)的地步。

IE 6的真實經(jīng)歷只是一些所謂的“老軟件“——或者叫做遺留軟件——整體的一部分縮影和寫照。為什么用戶及企業(yè)會如此偏愛老軟件并長時間堅持使用？為什么使用老軟件會令自己面臨越來越多的安全威脅？我們又能夠做點什么來緩和這些風(fēng)險呢？（我們會在接下來的內(nèi)容中對這些話題詳加討論，不過在此之前請各位確認(rèn)自己不是在用IE6閱讀這篇文章：）

難以清除的遺留軟件

盡管技術(shù)市場的運轉(zhuǎn)周期很短、產(chǎn)品更新?lián)Q代速度極快，但某些軟件似乎有種可怕的生命力，即使已經(jīng)遠(yuǎn)遠(yuǎn)超出了它們的最終使用期限，我們?nèi)匀缓茈y將它們從用戶的設(shè)備中徹底清除?？傮w來說，遺留軟件生命力頑強的理由包括以下幾個方面：

前期投入。用戶已經(jīng)為產(chǎn)品支付過一筆款項，所以自然會希望能夠盡量延長該產(chǎn)品的使用周期，借以降低使用成本。

培訓(xùn)開支。企業(yè)中的員工已經(jīng)為學(xué)習(xí)產(chǎn)品的使用付出了相應(yīng)的時間與精力（以及其它潛在資本），這一前提導(dǎo)致了人們很難對需要再次進(jìn)行技能學(xué)習(xí)的新事物主動產(chǎn)生興趣。

對技術(shù)支持的依賴。遺留軟件往往能夠與遺留系統(tǒng)協(xié)作良好，而一旦要對軟件進(jìn)行升級，陳舊的系統(tǒng)常會帶來額外的拖累，而企業(yè)對于系統(tǒng)更新的工作向來是能拖則拖。舉例來說，最新的Adobe Premiere Pro CS6需要運行在64位版本的Windows系統(tǒng)下，那么仍然在使用32位Windows系統(tǒng)的企業(yè)由于不想為此而對整套平臺進(jìn)行更新?lián)Q代，自然會傾向于繼續(xù)用Premiere Pro舊版本湊合湊合。

對遺留產(chǎn)品的高度依賴。企業(yè)用戶很可能已經(jīng)圍繞遺留軟件建立起了完整的業(yè)務(wù)運轉(zhuǎn)機(jī)制，一旦放棄原有架構(gòu)并重新建立內(nèi)部軟件定制組合，不僅會給企業(yè)帶來未知的新風(fēng)險，更會給業(yè)務(wù)帶來巨大的負(fù)面影響。IE 6就是這樣一個典型的例子：許多企業(yè)都擁有定制型內(nèi)部網(wǎng)絡(luò)，而在這一領(lǐng)域那些最新版本的瀏覽器其實沒什么吸引力，反倒是IE 6這樣的古董既方便快捷又深入人心。

當(dāng)然，上述這些條目遠(yuǎn)遠(yuǎn)不足以彌補遺留軟件所帶來的負(fù)面作用，我們首先要認(rèn)清一個現(xiàn)實：使用遺留軟件本身絕對是種錯誤。而作為企業(yè)用戶，最值得認(rèn)真考量的問題就是遺留軟件中所隱藏的安全漏洞。

風(fēng)險大于收益

繼續(xù)使用遺留軟件能夠節(jié)約時間與財力的投入，這從表面上來看算得上是一種企業(yè)收益，但這種收益其實只是幻覺。一個早已被解決的安全漏洞很可能仍然潛伏在遺留軟件中，并給企業(yè)帶來災(zāi)難性后果，這種情況一旦發(fā)生，所造成的時間與財力投入肯定遠(yuǎn)遠(yuǎn)超過維護(hù)最新軟件版本。舉例來說，目前社保卡及信用卡信息泄露事件所造成的損失平均都在700萬美元以上，相信任何一家企業(yè)都不希望這種狀況發(fā)生在自己身上。

軟件產(chǎn)品都不完美，即使是最新技術(shù)也無法徹底避免安全隱患。事實上，這有時候甚至成為讓遺留軟件繼續(xù)效力的一大有力理由——新產(chǎn)品可能包含更多未知及還沒有被發(fā)現(xiàn)的安全問題，因此相比之下還是成熟而完善的老版本更加可靠。聽起來似乎有一定道理，但隨著時間的推移，遺留軟件中的問題會在得不到持續(xù)更新的情況下變得愈發(fā)惡化。

下面我們就來聊聊遺留軟件產(chǎn)品中那些最觸目驚心的風(fēng)險：

缺乏來自供應(yīng)商的支持。要始終為產(chǎn)品提供良好的更新服務(wù)，供應(yīng)商必須堅持投入維護(hù)資金。而任何一款產(chǎn)品在邁向使用周期的盡頭后，都不可避免地失去來自供應(yīng)商的支持，同時自身的許多安全漏洞仍然沒能得到有效修復(fù)。我們完全可以理解，供應(yīng)商會偏向于將資源集中在開發(fā)更多新版本軟件方面，作為企業(yè)，推廣新產(chǎn)品永遠(yuǎn)比維護(hù)舊產(chǎn)品更重要。

對安全威脅的前瞻性較差。顧名思義，遺留軟件誕生的年代與現(xiàn)在相比，在對安全威脅的前瞻性方面必然相形見絀。大多數(shù)技術(shù)的出現(xiàn)都是由那些致力于入侵系統(tǒng)的黑客們所促成，而安全專家們?yōu)榇酥贫ǔ龅谋Ｗo(hù)策略則始終與時俱進(jìn)——換言之，越陳舊的產(chǎn)品中蘊含的安保思想就越過時。可以肯定地說，遺留軟件中的安全保護(hù)機(jī)制要遠(yuǎn)遠(yuǎn)遜色于當(dāng)今的技術(shù)。十年后的軟件必然在構(gòu)思方式上優(yōu)于目前，而站在今天的高度回望十年前的老產(chǎn)品同樣會有“尚能飯否”的感慨。

代碼重復(fù)利用。大多數(shù)軟件產(chǎn)品都會從系列老版本或其它產(chǎn)品中借用一定數(shù)量的代碼，也就是說遺留軟件中甚至可能包含一些比自身更古老的安全威脅。

廣為人知的安全缺口。一旦我們在軟件中發(fā)現(xiàn)了安全漏洞，這些內(nèi)容會被立即公布出來警示業(yè)界，進(jìn)而讓專家們找到合適的方法通過補丁加以彌補或修復(fù)。但這種流程同樣暴露在黑客的眼皮底下，他們能夠從中學(xué)習(xí)到更多攻擊經(jīng)驗并掌握多年來的各類主流安全漏洞?？梢哉f黑客們已經(jīng)針對遺留軟件中的安全問題學(xué)習(xí)、揣摩并實踐了多年，這段充裕的時間令陳舊產(chǎn)品在他們的面前簡直不堪一擊。

補丁更新滯后。與上一條威脅相對應(yīng)，許多企業(yè)往往不會在供應(yīng)商發(fā)布安全補丁后，第一時間進(jìn)行積極部署。這就使得遺留產(chǎn)品在拖延的這段時間中處于嚴(yán)重的安全風(fēng)險之下，而拖的時間越長，了解并熟悉這些安全漏洞的惡意人士就越多，那么企業(yè)的也就越可能遭受嚴(yán)重的經(jīng)濟(jì)損失。

日益完善的黑客工具。當(dāng)一款新產(chǎn)品出現(xiàn)安全漏洞時，能夠成功利用它并實施攻擊的往往只有最精明、技術(shù)力量最強的頂級黑客。但隨著時間的推移，黑客工具包會不斷吸納最新最有效的小東西，而這種提升甚至?xí)尭鄤倓側(cè)腴T的家伙嘗到惡意入侵的甜頭。目前廣為流傳的主流黑客工具包已經(jīng)非常傻瓜，其中甚至提供了友好的用戶界面以及在線教程指導(dǎo)，沒準(zhǔn)再過幾年會用辦公軟件的人都能學(xué)會如何扮演黑客。

依托于不夠安全的系統(tǒng)平臺。 在某些情況下，遺留產(chǎn)品只能運行在特定的遺留系統(tǒng)環(huán)境中。就拿QuickBooks Pro 2006來說，它無法支持Windows Vista及其后的更新系統(tǒng)版本。也就是說，即使遺留軟件本身不會來任何安全威脅，它們所要求的系統(tǒng)環(huán)境同樣有可能引發(fā)大麻煩。舉例來說，在微軟決定停止提供安全補丁的前提下，那些只能運行于Windows XP平臺上的遺留軟件變相讓我們的企業(yè)陷入安全風(fēng)險當(dāng)中。

當(dāng)然，并不是所有遺留軟件都會帶來同樣級別的嚴(yán)重安全問題。在這里我要提醒大家，面向網(wǎng)絡(luò)的應(yīng)用程序由于允許異地存取或遠(yuǎn)程控制，因此通常也是最難以打理的威脅產(chǎn)生源。只要有可能，千萬別在這些領(lǐng)域使用遺留軟件。

防御戰(zhàn)略

讓我們首先明確一點：更新永遠(yuǎn)是我們防范遺留軟件安全風(fēng)險的最佳選擇。盡管沒有任何一款產(chǎn)品敢斷言自身不存在一丁點安全漏洞，但新產(chǎn)品中所包含的安全理念及保護(hù)思路肯定要好于舊產(chǎn)品。也就是說，只要我們及時選擇新產(chǎn)品或安裝新補丁，那么在一段特定的時間內(nèi)自身就是相對安全的。等到黑客們發(fā)現(xiàn)了新版本中的弱點，又會有新的補丁出現(xiàn)繼續(xù)為我們的業(yè)務(wù)保駕護(hù)航。

但有時候保持更新也沒那么容易。出于企業(yè)預(yù)算的考量或者軟件供應(yīng)商干脆沒有提供新補丁，都可能導(dǎo)致我們暴露在惡意人士的覬覦之下。一旦出現(xiàn)這類情況，而我們的遺留軟件又免不了要與網(wǎng)絡(luò)環(huán)境打交道，那么以下幾項戰(zhàn)略應(yīng)該能夠幫助大家降低安全風(fēng)險：

利用虛擬化技術(shù)進(jìn)行隔離。虛擬化技術(shù)帶來了數(shù)不清的偉大用途，而其中最重要的一條就是為高風(fēng)險平臺建立一套沙箱環(huán)境，借以將其與重要系統(tǒng)相隔離。舉例來說，大家可以利用甲骨文VirtualBox這樣的免費軟件為遺留應(yīng)用程序提供Windows 95或者XP系統(tǒng)環(huán)境，同時又能保證現(xiàn)有現(xiàn)代化系統(tǒng)的安全。更值得稱道的是，虛擬系統(tǒng)能夠徹底切斷內(nèi)部網(wǎng)絡(luò)與外部環(huán)境的聯(lián)系，從而打造出固若金湯的企業(yè)防御體系。

虛擬補丁。有時候某些遺留產(chǎn)品根本沒有能夠直接用來修復(fù)或處理安全漏洞的可用補丁，但我們往往能夠通過所謂“虛擬補丁”來解決高危應(yīng)用程序中的某些已知漏洞。舉例來說，遺留數(shù)據(jù)庫產(chǎn)品很容易受到SQL注入式攻擊——就是說當(dāng)一條查詢請求發(fā)往數(shù)據(jù)庫時，攻擊者能夠通過一些小手段來偷偷修改或者竊取受保護(hù)的數(shù)據(jù)。虛擬補丁包括利用防火墻檢查數(shù)據(jù)包的合規(guī)性或者制定有針對性的Web服務(wù)器規(guī)則，進(jìn)而有效地尋找并檢測出SQL注入式語法，最終讓這些惡意請求在到達(dá)脆弱的遺留產(chǎn)品之前就將其攔截下來。

【本文轉(zhuǎn)載自安庫網(wǎng)】

【推薦閱讀】

◆IT運維管理專區(qū)

◆別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡(luò)安全管理十大注意事項

◆IT運維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆網(wǎng)管軟件專區(qū)