PC Windows XP di jaringan perusahaan

Dalam bisnis kecil kami, kami menggunakan sekitar 75 PC. Server dan desktop / laptop semuanya mutakhir dan dijamin menggunakan Panda Business Endpoint Protection dan Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Namun, dalam lingkungan produksi kami, kami memiliki sekitar 15 PC Windows XP yang berjalan. Mereka terhubung ke jaringan perusahaan. Terutama untuk konektivitas SQL dan keperluan logging. Mereka memiliki akses tulis terbatas ke server.

PC Windows XP hanya digunakan untuk satu aplikasi produksi khusus (khusus). Tidak ada perangkat lunak perkantoran (email, penelusuran, kantor, ...). Selanjutnya masing-masing XP-PC ini memiliki kontrol akses web Panda yang tidak memungkinkan akses Internet. Satu-satunya pengecualian adalah untuk Pembaruan Windows dan Panda.

Apakah perlu, dari sudut pandang keamanan, untuk mengganti PC Windows XP ini dengan PC baru?

apakah perlu dari sudut pandang keamanan, untuk mengganti XP-PC ini dengan PC baru.

Tidak, tidak perlu mengganti PC. Tapi itu adalah diperlukan untuk meng-upgrade sistem-sistem operasi (ini mungkin juga melibatkan menggantikan mereka PC - kita tidak tahu, tetapi jika mereka menjalankan perangkat keras khusus, maka dimungkinkan untuk menjaga PC.).

Ada begitu banyak kisah nyata tentang PC yang diduga "ber-gapura" terinfeksi. Ini dapat terjadi terlepas dari sistem operasi Anda, tetapi memiliki sistem operasi yang tidak diperbarui yang sangat lama membuatnya semakin berisiko.

Terutama karena kedengarannya seperti komputer Anda dilindungi oleh pembatasan perangkat lunak untuk memblokir akses internet. Ini sepertinya mudah untuk dilewati. (peringatan: Saya belum pernah mendengar tentang kontrol akses web Panda ini, tapi itu pasti terlihat seperti perangkat lunak di-host).

Masalah yang mungkin Anda hadapi adalah kurangnya kerjasama vendor. Ada kemungkinan bahwa vendor menolak untuk membantu, ingin mengenakan biaya $ 100.000 untuk upgrade, atau langsung bangkrut dan IP dibuang.

Jika ini masalahnya, ini adalah sesuatu yang perlu dianggarkan oleh perusahaan.

Jika benar-benar tidak ada pilihan selain tetap menggunakan sistem operasi berusia 16 tahun yang berjalan tanpa dititipkan (mungkin ini mesin bubut CNC atau mesin penggilingan atau MRI jutaan dolar), maka Anda perlu melakukan isolasi host serius berbasis perangkat keras. Menempatkan mesin-mesin itu di vlan mereka sendiri dengan aturan firewall yang sangat ketat akan menjadi awal yang baik.

Tampaknya Anda perlu berpegangan tangan dalam hal ini, jadi bagaimana ini:

• Windows XP adalah sistem operasi berusia 16 tahun. Enam belas tahun . Biarkan itu meresap. Saya akan berpikir dua kali sebelum membeli mobil berusia enam belas tahun, dan mereka masih membuat suku cadang untuk mobil berusia 16 tahun. Tidak ada 'suku cadang' untuk Windows XP.

• Dengan suara itu, Anda memiliki isolasi host yang buruk. Katakanlah sesuatu sudah masuk ke dalam jaringan Anda. Dengan cara lain. Seseorang menancapkan stik USB yang terinfeksi. Ini akan memindai jaringan interior Anda dan menyebar ke apa pun yang memiliki kerentanan yang dapat dieksploitasi. Kurangnya akses internet tidak relevan di sini karena panggilan telepon datang dari dalam rumah

• Produk keamanan Panda ini terlihat seperti pembatasan berbasis perangkat lunak. Perangkat lunak dapat di-bypass, terkadang dengan mudah. Saya yakin sepotong malware yang layak masih bisa keluar ke internet jika satu-satunya yang menghentikannya adalah perangkat lunak yang berjalan di atas tumpukan jaringan. Itu bisa saja mendapatkan hak admin dan menghentikan perangkat lunak atau layanan. Jadi mereka tidak benar-benar tidak memiliki akses internet sama sekali. Ini kembali ke isolasi host - dengan isolasi host yang tepat Anda benar-benar bisa mengeluarkannya dari internet dan mungkin membatasi kerusakan yang dapat mereka lakukan pada jaringan Anda.

Jujur saja, Anda tidak perlu membenarkan penggantian komputer dan / atau sistem operasi ini. Mereka akan sepenuhnya disusutkan untuk keperluan akuntansi, mereka kemungkinan besar melewati akhir dari garansi atau dukungan dari vendor perangkat keras, mereka pasti melewati segala jenis dukungan dari Microsoft (bahkan jika Anda melambaikan titanium American Express Anda di wajah Microsoft, mereka masih tidak mau mengambil uangmu).

Setiap perusahaan yang tertarik untuk mengurangi risiko dan kewajiban akan mengganti mesin-mesin itu bertahun-tahun yang lalu. Ada sedikit atau tidak ada alasan untuk menjaga workstation tetap ada. Saya mencantumkan beberapa alasan yang valid di atas (jika itu benar-benar terputus sepenuhnya dari setiap dan semua jaringan dan tinggal di lemari dan menjalankan musik lift saya mungkin - MUNGKIN - berikan izin). Sepertinya Anda tidak memiliki alasan yang sah untuk meninggalkannya. Apalagi sekarang Anda menyadari bahwa mereka ada di sana, dan Anda telah melihat kerusakan yang dapat terjadi (saya berasumsi Anda menulis ini sebagai tanggapan terhadap WannaCry / WannaCrypt).

Penggantian mungkin berlebihan. Siapkan gateway. Mesin gateway seharusnya tidak menjalankan Windows; Linux mungkin merupakan pilihan terbaik. Mesin gateway harus memiliki dua kartu jaringan yang terpisah. Mesin Windows XP akan berada di satu jaringan di satu sisi, sisanya di dunia di sisi lain. Linux tidak akan merutekan traffic.

Instal Samba, dan buat saham untuk mesin XP untuk menulis. Salin file yang masuk ke depan ke tujuan akhir. rsyncakan menjadi pilihan logis.

Menggunakan iptables, memblokir semua port kecuali yang digunakan untuk Samba. Blokir koneksi Samba keluar di sisi yang memiliki mesin XP (sehingga tidak ada yang bisa menulis ke mesin XP) dan ** semua * koneksi masuk di sisi lain (jadi tidak ada yang bisa menulis ke mesin Linux sama sekali) - mungkin dengan satu pengecualian hardcoded untuk SSH, tetapi hanya dari IP PC manajemen Anda.

Untuk meretas mesin XP sekarang membutuhkan peretasan server Linux di antaranya, yang secara positif menolak semua koneksi yang datang dari sisi non-XP. Inilah yang dikenal sebagai pertahanan mendalam . Meskipun ada kemungkinan bahwa beberapa kombinasi bug yang tidak beruntung masih ada yang akan memungkinkan peretas yang tekun dan berpengetahuan untuk mengabaikan ini, Anda akan berbicara tentang peretas yang secara khusus mencoba meretas 15 mesin XP di jaringan Anda. Botnet, virus, dan worm biasanya dapat memintas hanya satu atau dua kerentanan umum, dan jarang dapat bekerja di beberapa Sistem Operasi.

Berita akhir pekan ini tentang WannaCry seharusnya menjelaskan tanpa keraguan bahwa mutlak diperlukan untuk mengganti Windows XP dan sistem serupa sedapat mungkin.

Bahkan jika MS merilis patch luar biasa untuk OS kuno ini, tidak ada jaminan sama sekali bahwa ini akan terjadi lagi.

Kami menggunakan beberapa mesin Windows XP untuk perangkat lunak tertentu (warisan), kami telah mencoba untuk memindahkan sebanyak mungkin ke mesin virtual menggunakan Oracle VirtualBox (gratis), dan saya sarankan Anda melihat melakukan hal yang sama.

Ini memberi beberapa manfaat;

Nomor 1 untuk Anda adalah bahwa Anda dapat mengontrol akses jaringan VM dengan sangat ketat dari luar (tanpa menginstal apa pun di dalam Windows XP), dan Anda mendapat manfaat dari perlindungan OS mesin host yang lebih baru dan perangkat lunak keamanan apa pun yang berjalan di atasnya.

Ini juga berarti Anda dapat memindahkan VM di berbagai mesin fisik / sistem operasi saat pemutakhiran atau kegagalan perangkat keras terjadi, cadangkan dengan mudah termasuk mampu menyimpan snapshot keadaan "dikenal baik bekerja" sebelum menerapkan pembaruan / perubahan.

Kami menggunakan satu VM per aplikasi untuk menjaga hal-hal super terpisah. Selama Anda menjaga boot drive UUID dengan benar, instalasi Windows XP tidak masalah.

Pendekatan ini berarti kita dapat memutar VM untuk tugas yang diberikan yang memiliki minimal menginstal Windows XP dan satu perangkat lunak yang diperlukan, tanpa tambahan tambahan ditempelkan pada dan tidak ada yang menjebaknya. Melambatkan akses jaringan mesin sangat mengurangi kerentanan dan mencegah Windows XP mengejutkan Anda dengan pembaruan apa pun yang dapat merusak atau memperburuk.

Seperti yang disarankan seseorang sebelumnya, pertimbangkan untuk memperkuat isolasi ke seluruh jaringan.

Mengandalkan perangkat lunak di-mesin lemah (karena bergantung pada tumpukan jaringan OS yang bisa rentan itu sendiri). Subnet yang berdedikasi akan menjadi awal yang baik dan solusi berbasis VLAN lebih baik (ini dapat diungkit oleh penyerang yang gigih, tetapi itu akan menghentikan sebagian besar serangan "kejahatan peluang" mati. Namun, driver NIC perlu mendukung ini). Jaringan fisik khusus (baik melalui sakelar khusus atau VLAN berbasis port) adalah yang terbaik.

Ya, mereka perlu diganti. Siapa pun yang menjalankan mesin Windows XP yang terhubung ke segala jenis jaringan post-WannaCry hanya akan meminta masalah.