2 июня 2016

Встроенное ПО без поддержки: Как сохранить безопасность

Бизнес

Прошло почти два года с тех пор, как Microsoft прекратила поддержку Windows XP. Хотя об этом событии давно говорили, и его долго ждали, оно, тем не менее, доставило неудобства многим предприятиям и правительственным организациям. Несмотря на то, что история Microsoft Windows XP должна была закончиться в апреле 2014 года, операционная система никуда полностью не исчезла, так как многие встроенные устройства всё ещё продолжали — и продолжают до сих пор — работать на Windows XP Embedded Service Pack 3. А, следовательно, остаются зависимыми от обновлений безопасности.

Однако 12 января 2016 года Microsoft перестала поддерживать и Windows XP Embedded Service Pack 3, что повлекло далеко идущие последствия для многих предприятий.

Почему Microsoft отказалась от поддержки?

Microsoft руководствовалась, во-первых, коммерческими соображениями, а во-вторых, соображениями безопасности. Windows XP во всех своих ипостасях давно пережила собственный расчетный срок эксплуатации. Более свежие версии Windows имеют много технических преимуществ, в том числе связанных с защитой данных.

Прекращение поддержки является нормальным процессом, но с ним могут быть связаны определенные технические осложнения, которые затрудняют своевременную подготовку к отказу от продукта. Например, современные операционной системе аппаратные средства могут продолжать работать намного дольше запланированного жизненного цикла операционной системы. Так что замена программного обеспечения может повлечь необходимость в модернизации, а, следовательно, будет экономически неоправданной. Таким образом, предприятия либо ищут обходные пути, либо продолжают использовать то, что имеют, после истечения срока.

wide

Устаревшее ПО никуда не девается, пусть его время давно вышло

Еще одна распространенная проблема — устаревшее программное обеспечение, и касается она не только ОС для домашнего пользователя. Например, в некоторых спутниках, до сих пор работающих на орбите, используется аппаратное и программное обеспечение десятилетней и больше давности. Аналогична ситуация и с системами диспетчерского управления и сбора данных (SCADA). Цикл их обновления весьма длителен, а потому они часто используют очень старые операционные системы. То же верно и в отношении финансовых систем, причём не только банкоматов. Внутренние автоматизированные банковские системы также могут не обновляться в течение многих лет. Что же касается банкоматов, то 80% мелких банков предпочитают ждать окончания их срока службы (а это, как правило, 5-8 лет), а затем приобретают новые машины с установленным свежим программным обеспечением.

Причем, Windows XP — ещё не самый вопиющий пример слишком длительного использования устаревшей ОС. Некоторые действительно критические системы могут работать на куда более старом программном обеспечении. Например, в ноябре прошлого года парижский аэропорт «Орли» приостановил все рейсы из-за отказа системы управления воздушным движением. И оперативно устранить причину не получилось, потому что она работала на Windows 3.11. Да, на 16-разрядной операционной системе, вышедшей 31 декабря 1993 года. Администрация «Орли» планирует обновить программное обеспечение только к 2017 году.

Легко догадаться, что в Windows 3.11 — невпроворот уязвимостей, которые хакеры с удовольствием будут эксплуатировать, и которые никогда уже не будут исправлены. К счастью, в «Орли» проблема была не в этом. Тем не менее, злоумышленники могли запросто использовать эти уязвимости, причём для этого им не потребовались бы никакие изощрённые вредоносные программы или эксплойты нулевого дня — большинство из этих багов давно стали общеизвестными.

Случай Windows XP

Окончание поддержки Windows XP затронуло очень много предприятий и государственных учреждений, в том числе банки. Windows XP Professional for Embedded Systems, та самая система, которая осталась без поддержки в апреле 2014 года наряду с потребительскими версиями XP, работала на большинстве банкоматов по всему миру.

Многие организации были не рады оставться без этой поддержки. Некоторые из крупнейших даже решили платить огромные суммы Microsoft за продление поддержки конкретно для них. Так, ВМС США выложили за это 9,1 миллиона долларов (правда это не только Windows XP, но также и Office, и Exchange 2003). «Королевская коммерческая палата Великобритании» (CCS) тоже заплатила за продление поддержки XP, так же поступили Bank of America, JP Morgan и ряд других банков. Для них патчи продолжали выходить до недавнего времени.

Доводы против обновления

На самом деле, противников замены ОС можно понять. Для крупных организаций замена аппаратного и программного обеспечения является длительным, дорогостоящим и болезненным процессом. И организации неохотно расстаются с устаревшими, но работающими инструментами. Кроме того, замена программного обеспечения часто требует и замены оборудования: сравните, к примеру, системные требования Windows XP и Windows 10. Десятка не сможет корректно работать на старых машинах времен рассвета Windows XP — в лучшем случае будет еле ползать, а скорее всего не запустится вообще.

Когда прекращается поддержка какого-либо программного обеспечения, организации оказываются перед непростым выбором. Они могут или пойти на огромный риск и продолжать использовать старое ПО без всякой поддержки, не представляя, когда преступники могут воспользоваться очередной уязвимостью, которую никогда не исправят. Или же могут заплатить вендору круглую сумму за продление поддержки, что далеко не каждый может себе позволить. Теоретически можно выбрать и миграцию, которая обойдётся еще дороже. Однако есть и другой способ.

Защитные технологии

Организации, которые по-прежнему используют устаревшие программные и аппаратные решения, могут использовать средства безопасности сторонних производителей, создавая специальный «защитный слой» от уязвимостей. Эти технологии, известные как динамические белые списки используют списки легальных программ и предотвращают запуск в системе всего остального.

На самом деле в определенный момент «белый список» превращается в единственный подход к обеспечению безопасности устаревших систем.

Одним из очевидных преимуществ данного подхода является его стоимость. Такие технологии могут быть внедрены при вполне умеренных затратах, как правило, не превышающих 100 $ за устройство. И эти технологии останутся полезны в качестве дополнительной защиты даже после того, как компания примет решения все-таки перейти на новую версию ОС.