自2023年1月10日起，Windows 7、Windows 8、Windows 8.1及其衍生產(chǎn)品Windows Embedded以及Windows Server 2008 R2將不再收到微軟提供的補丁程序。數(shù)以百萬計的設備現(xiàn)在將成為“遺留”設備，并產(chǎn)生一系列新的遺留安全風險。

?

Windows 7支持結束，8/8.1被切斷

微軟的2023年1月發(fā)行說明包括了針對微軟三種操作系統(tǒng)(OS)的最終補丁：7、8和8.1。這一舉動并不令人意外，但仍可能讓許多IT團隊措手不及。

例如，盡管Windows 7在三年前就進入了EOL (end-of-life)階段，微軟還是為企業(yè)用戶提供了一個名為擴展安全更新(Extended Security Update, ESU)的擴展支持包。

這種“付費補丁”服務允許運行Windows 7的組織在將系統(tǒng)遷移到較新的操作系統(tǒng)版本時接收關鍵補丁。

現(xiàn)在，這些操作系統(tǒng)的擴展安全更新已經(jīng)正式消失，沒有擴展支持的可能性。

隨著Windows 7、8和8.1及其嵌入式衍生產(chǎn)品失去支持，目前運行的所有Windows計算機中另有15%(根據(jù)2022年11月的統(tǒng)計)將不再接收操作系統(tǒng)補丁。

傳統(tǒng)操作系統(tǒng)增加了整個軟件供應鏈的風險

如果沒有供應商的支持，運行EOL和不受支持的操作系統(tǒng)的設備將成為可利用漏洞的持續(xù)來源。例如，在2021年，新發(fā)現(xiàn)的漏洞中超過17%是五年以上的漏洞。

威脅參與者還可以從當前操作系統(tǒng)版本中發(fā)現(xiàn)的漏洞中恢復工作，以找到新的方法來危害較舊的計算機。但更多的攻擊者實際上在等待補丁發(fā)布，以開發(fā)N天漏洞。

由于OS開發(fā)的迭代性質，供應商在較新版本的Windows OS系統(tǒng)中發(fā)現(xiàn)并修補的可利用漏洞有時會在較舊版本中發(fā)現(xiàn)-在較舊版本中，這些漏洞永遠不會得到正式修復。

傳統(tǒng)的操作系統(tǒng)以及在其上運行的應用程序也缺乏現(xiàn)代的訪問控制。這是入侵風險的一個重要來源。根據(jù)微軟的研究，97%的成功憑據(jù)填充攻擊涉及傳統(tǒng)身份驗證。更糟糕的是，對于依賴Microsoft Defender來保護Windows 8和8.1的企業(yè)來說，從1月10日起，Defender將不再支持這些平臺。

CISA將依賴“不受支持的(或報廢的)軟件”排在安全不良做法的首位。

即使一個組織將其所有系統(tǒng)升級到Windows 10或更高版本，從統(tǒng)計上講，傳統(tǒng)設備仍有可能出現(xiàn)在供應鏈的某個地方。因此，即使您的組織不運行EOL系統(tǒng)，您的第三方和第n方供應商也可能運行。

?

遺留的安全挑戰(zhàn)

微軟取消了對Windows 7、8和8.1的補丁支持，停止了對Windows Server 2008 R2的支持，預計將于2023年10月結束對Windows Server 2012的支持，這說明了下線設備帶來的令人頭疼的問題。

幾十年來，企業(yè)依賴過時的應用程序和系統(tǒng)已經(jīng)成為現(xiàn)實。

像醫(yī)療保健這樣的行業(yè)因依賴過時的系統(tǒng)而臭名昭著。2019年，在XP補丁結束五年后，英國醫(yī)療保健系統(tǒng)仍在運行數(shù)千個Windows XP終端的消息震驚了許多人，但很少有人感到意外。

在SANS研究所進行的一項2022年的調查中，在OT和關鍵基礎設施組織(包括醫(yī)療保健)工作的IT專業(yè)人員中有54%表示，集成和升級舊系統(tǒng)是他們最大的安全挑戰(zhàn)。

對于制造業(yè)、醫(yī)療保健、金融和教育領域的許多組織來說，讓傳統(tǒng)設備離線進行升級基本上是不可能的。

另一個熟悉的挑戰(zhàn)是，設備(如在過時的專有Windows版本上運行的核磁共振機器工作站)可能會隱藏EOL應用程序或阻止它們的替換。

移除對Windows 7、8、8.1和Windows Server 2008 R2的支持將更多的設備轉移到“永遠不會被替換或打補丁”的類別中。

不幸的是，即使一個傳統(tǒng)設備有計算來運行安全控制，如殺毒系統(tǒng)或EDR，你可以找到一個兼容的保護解決方案，它的掃描儀極不可能能夠發(fā)現(xiàn)或阻止現(xiàn)代規(guī)避惡意軟件。這意味著無數(shù)依賴遺留設備的組織都處于危險的不安全環(huán)境中，這極大地增加了他們遭受攻擊的風險。

運行遺留操作系統(tǒng)的機器通常是組織的核心運營骨干的一部分，運行web服務器、金融交易和其他關鍵業(yè)務應用程序，從而放大了風險。由于微軟的支持包括嵌入式操作系統(tǒng)，關鍵的物聯(lián)網(wǎng)和OT設備，如銷售點(POS)系統(tǒng)、ATM、醫(yī)療設備和工業(yè)控制系統(tǒng)端點也暴露出來。

?

您能得到有效的遺留安全嗎?

任何網(wǎng)絡安全從業(yè)者都知道，保護遺留系統(tǒng)是一項艱巨的挑戰(zhàn)。與當前系統(tǒng)相比，遺留系統(tǒng)缺乏能量，因此需要一個輕量級的安全解決方案。他們還需要與他們的軟件兼容——這兩個因素排除了當今大多數(shù)業(yè)界領先的安全解決方案，如EPP、EDR和XDR/MDR。(遺留系統(tǒng)缺乏EDRs使用的基本機制，如通過AMSI的腳本掃描。)

Morphisec是一種提供超輕量級保護并兼容Windows 7、8、8.1和Windows 2008 R2設備和服務器的解決方案。Morphisec Guard和Keep分別為遺留環(huán)境提供端點和服務器保護，并主動預防已知和未知的高級威脅。使用專利的移動目標防御(MTD)技術，Guard和Keep可以在樹莓派上運行，同時防止最具破壞性的網(wǎng)絡攻擊，包括供應鏈攻擊、零日、無文件/內存攻擊、勒索軟件和其他隱形和規(guī)避攻擊。Gartner稱MTD是“變革性的”。

?