很多公司依然在用 Windows Server 2003——即便微软不再支持该操作系统。
如果你还在用 Windows Server 2003,那你就已经面临严重的被黑风险了。原因是本月早些时候放出的一个互联网更新,在 Windows Server 2003 机器上画了个鲜明的靶子。
间谍工具包含很多基于Windows的漏洞利用程序,或者黑客程序,针对用于文件共享的Windows服务器消息块(SMB)协议。这些漏洞利用程序可以远程触发操作系统执行代码,也就可以用于安装其他恶意软件。
| 我都能教会我妈妈使用这些漏洞利用程序,它们一点都不复杂。 ——Rendition Infosec 创始人杰克·威廉姆斯 |
专家敦促受影响公司升级到最新的Windows系统,新系统才可以提供安全补丁解决这些威胁。但是有些公司,尤其是制造业和医疗健康行业的公司,因为依赖不能运行在现代操作系统上的遗留软件,而无法获取安全补丁。
升级的代价通常高到离谱。而且,机器运行得好好的,而控制不得不通过 Windows Server 2003 进行。
设备搜索引擎Shodan的结果显示,公开暴露在互联网上的 Windows Server 2003 机器可能超过50万台。还有更多脆弱机器运行在公司防火墙内。于是,对这些得不到安全补丁的机器,可以按照下列建议来巩固安全。
1. 网络分隔与监视
受老旧Windows服务器拖累的公司也可以防护自身。威廉姆斯建议,不仅仅将这些服务器置于防火墙之后,还要使用网络分隔战术。
这包括限制对最关键服务器的访问,以及确保只有系统管理员可以控制这些服务器。
由此,即便黑客真的穿透了防火墙,他们也只能接触到相对较小的公司网络区域。
而且,网络分隔花不了多少钱就能办到。企业互联网路由器通常就包含访问控制功能,可以限制哪些机器能访问哪些资源。
公司还应该考虑监视脆弱服务器,或者至少监视那些承载着关键信息的服务器。任何流经它们的异常数据流量活动,都可能是被入侵的迹象。
2. 衡量风险
想要将恶意活动隔离在脆弱系统之外,应用白名单也是可以利用起来的。
白名单的运行机制,是只允许可信应用在计算机上执行。这与反病毒产品的方法正好相反,反病毒产品基本上是基于已知指征,用黑名单屏蔽掉恶意程序。
公司还可以为存储在机器中的任意敏感数据创建备份。最近几年兴起的一种恶意威胁,就是勒索软件。它们会感染计算机,加密里面的所有数据,勒索受害者,称不支付赎金就别想解密数据。
不过,即便有了这种种安全防护措施,保护脆弱的遗留 Windows Server 系统的最佳解决方案,依然是升级到更新版本。
尽管短期看开销很大,这笔投资可以帮助公司避免掉灾难性的数据泄露。公司企业应该计算一下哪边代价更大:“购买升级的开销,还是一旦被黑,公司品牌及其客户遭受的伤害?”
作者:nana
来源:51CTO
