影子IT和过时软件如何威胁企业基础设施

简介: 影子IT和过时软件如何威胁企业基础设施

本文来自 企业网D1net公众号

随着6%的IT资产达到生命周期终点,近三分之一的资产管理不当,未修补的漏洞层出不穷。


根据一项新研究,每16个IT资产中就有一个已达到生命周期终点阶段,这可能会使企业暴露于已知但未修补的漏洞中。


这一数据来源于对Sevco客户和潜在客户网络中120万个IT资产(包括服务器和设备)可见性聚合的原始数据分析。


Sevco的研究不仅发现6%的资产已达到生命周期终点,还发现28%的IT资产缺少至少一种关键控制——终端保护或补丁管理。


第三方专家表示,过时软件和影子IT系统(未经IT部门管理和控制的员工使用的非授权技术)带来的问题正在增加。



在影子IT中


“暴露在互联网中的非标准、未管理的设备的数量和可用性正成倍增长,这些设备通常由非安全意识的用户配置,”Forescout的安全情报副总裁Rik Ferguson表示,“这些设备通常没有传统IT资产那么安全或可见,仍然特别容易受到攻击。”


上个月,一名威胁行为者被发现试图出售对大型云安全公司Zscaler的访问权限。经过调查,Zscaler发现了一个不在其核心基础设施上的测试服务器。


2023年发生的Okta攻击被归因于未经授权的IT系统使用,企业凭证被保存到个人Google账户,然后工作笔记本电脑感染了恶意软件,这突显了影子IT如何导致未经授权的访问和潜在的数据泄露。



生命周期结束——但风险未结束


过时软件通过增加攻击面和使组织更容易受到攻击而构成重大风险。


例如,2018年针对英国航空公司的一次高调攻击中,一个过时的JavaScript版本是一个促成因素。2017年臭名昭著的WannaCry恶意软件暴露了英国医院和其他地方过时的Windows XP系统的风险。


供应商认为已达到生命周期终点(EOL)的IT资产不再受益于常规软件更新或安全补丁,除非支付额外费用以获得扩展支持。例如,当Windows 10在2025年10月达到生命周期终点后,为一台PC提供三年的扩展安全更新的基本费用将是427美元,这略低于2023年为Windows 7 PC提供补丁的490美元。尽管企业可能会获得更好的定价,但一些资金紧张的组织决定冒险也就不足为奇了。


KnowBe4的首席安全意识倡导者Javvad Malik表示:“过时软件的最大风险在于那些历史上未连接到互联网的领域。因此,像医院或关键基础设施这样的地方通常会运行过时的软件。”


ImmuniWeb的CEO Ilia Kolochenko认为,影子IT和过时软件的问题是“深度交织在一起的”。


“为了应对影子IT带来的风险,企业应该维护并持续更新所有系统、软件、用户、账户、数据以及有任何访问企业数据权限的第三方的全面清单,”ImmuniWeb的Kolochenko告诉CSOonline.com。


有时,即使是正式批准的IT系统也没有及时更新,例如那些没有足够补丁管理系统的系统,这些系统在Sevco研究中被发现。


例如,2017年Equifax数据大劫案就是因为一个未打补丁但完全可以打补丁的Apache Struts实例。


专家一致认为,企业需要进行彻底的审计和风险评估。最好的防御措施包括严格的配置管理、软件物料清单跟踪、安全意识培训以及限制可安装的内容。


“With Secure威胁情报总监Tim West表示:“了解你的攻击面并定期进行外部资产映射练习至关重要。需要注意的是,答案不仅仅是技术层面的。影子IT背后还有一个人为因素以及它发生的原因。培训并确保现有流程满足员工需求也同样重要。”


ImmuniWeb的Kolochenko补充道:“即使是经验丰富的软件开发人员,有时也会不小心在云中部署一个容器,里面有生产数据,用来实验一些新功能,最后却忘记了,更不用说那些用家用电脑或移动设备处理业务的非技术用户了。”


相关文章
|
2月前
|
机器学习/深度学习 安全 网络安全
云端防御战线:云计算环境下的网络安全与信息保护策略
【5月更文挑战第30天】 随着企业和个人日益依赖云计算提供的弹性、可扩展的服务,云平台的安全性成为维护信息安全的重要战场。本文探讨了在复杂多变的云环境中,如何通过一系列创新策略和技术手段来提升网络和信息的安全防护水平。我们将深入分析云计算服务模型特有的安全挑战,并针对这些挑战提出相应的解决方案。文章不仅聚焦于传统的加密、认证机制,还将讨论最新的机器学习算法在识别潜在威胁中的应用,以及如何构建一个多层次的安全框架来保障用户数据和隐私的完整性与机密性。
|
2月前
|
安全 网络安全 Android开发
移动应用与系统:未来技术的关键驱动者网络安全与信息安全:保护你的数据,保护你的未来
【5月更文挑战第29天】本文探讨了移动应用开发和移动操作系统的重要性,以及它们如何塑造我们的日常生活和未来的技术趋势。我们将深入研究移动应用的开发过程,以及移动操作系统如何支持这些应用的运行。我们还将探讨一些最新的移动应用和操作系统,以及它们如何推动技术创新。
|
2月前
|
存储 SQL 安全
网络堡垒之匙:洞悉漏洞、强化加密与提升意识
【5月更文挑战第27天】 在数字化浪潮的推进下,网络安全与信息安全已成为守护信息世界的重要防线。文章深入探讨了网络安全中的漏洞问题,分析了当前主流的加密技术,并强调了安全意识在防御体系中的核心地位。通过对常见安全漏洞的剖析与案例研究,本文揭示了漏洞产生的根源及其潜在风险。同时,对对称加密、非对称加密以及哈希函数等关键技术进行解读,指出其在数据保护中的关键作用。此外,文中还讨论了通过教育与培训提高个人和组织的网络安全意识,以构筑更为坚固的信息防线。
|
2月前
|
监控 安全 网络安全
云端防御策略:在云计算时代维护网络安全与信息完整性
【5月更文挑战第14天】 随着企业逐渐将数据和服务迁移至云平台,云计算的便捷性和成本效益显著提升。然而,这种转变也带来了新的安全挑战。本文深入探讨了云服务中的网络安全威胁、信息安全的重要性以及相应的防御机制。我们将分析当前的安全漏洞,提出创新的安全框架,并讨论如何通过综合措施确保数据的保密性、完整性和可用性。我们的目标是为读者提供一套实用的策略,以保护他们在云端的资产不受日益复杂的网络攻击。
|
2月前
|
存储 安全 网络安全
云端防御:在云计算时代维护网络安全与信息完整性
【4月更文挑战第15天】 随着企业和个人用户日益依赖云服务,云计算环境的安全性已成为技术发展的一个关键挑战。本文探讨了云计算平台面临的安全威胁、信息安全的关键策略以及实施有效防护措施的必要性。我们将分析数据加密、身份验证和访问控制等核心技术,并讨论如何通过综合方法保护云资源以应对不断演变的网络攻击。
46 2
|
安全 SDN 数据安全/隐私保护