ПК с Windows XP в сети компании

В нашем малом бизнесе мы используем около 75 компьютеров. Серверы и настольные компьютеры / ноутбуки обновлены и защищены с помощью Panda Business Endpoint Protection и Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Однако в нашей производственной среде у нас работает около 15 ПК с Windows XP. Они подключены к сети компании. В основном для SQL-подключения и ведения журналов. Они имеют ограниченный доступ на запись к серверам.

ПК с Windows XP используются только для одного специализированного (пользовательского) производственного приложения. Нет офисного программного обеспечения (электронная почта, просмотр, офис, ...). Кроме того, каждый из этих XP-ПК имеет контроль доступа к сети Panda, который не разрешает доступ в Интернет. Единственными исключениями являются обновления для Windows и Panda.

Необходимо ли с точки зрения безопасности заменить эти ПК с Windows XP на новые?

необходимо ли с точки зрения безопасности заменить эти XP-ПК на новые ПК.

Нет, заменять компьютеры не обязательно. Но это необходимо обновить эти операционные системы (это может также включать замену этих компьютеров - мы не знаем , но если они работают специализированные аппаратные средства, то это может быть возможно держать компьютер.).

Существует так много реальных историй о якобы зараженных ПК с воздушным зазором. Это может происходить независимо от вашей операционной системы, но наличие устаревшей, не обновленной операционной системы делает ее еще более рискованной.

Тем более что кажется, что ваши компьютеры защищены программным ограничением для блокировки доступа в Интернет. Это, вероятно, легко обойти. (предостережение: я никогда не слышал об этом контроле веб-доступа Panda, но он, безусловно, выглядит как программное обеспечение на хосте).

Проблема, с которой вы, вероятно, столкнетесь, заключается в отсутствии сотрудничества с поставщиками. Вполне возможно, что поставщики откажутся помогать, захотят взимать 100 000 долларов США за апгрейд или могут просто обанкротиться и выбросить IP.

Если это так, то это то, на что компании нужно выделить бюджет.

Если на самом деле нет другого выбора, кроме как поддерживать исправленную 16-летнюю операционную систему (может быть, это токарный или фрезерный станок с ЧПУ за миллион долларов или МРТ), то вам необходимо провести серьезную аппаратную изоляцию хоста. Хорошим началом будет размещение этих машин в собственном vlan с чрезвычайно строгими правилами брандмауэра.

Похоже, что вам нужно что-то держать в этом отношении, так как же это:

• Windows XP - это 16-летняя операционная система. Шестнадцать лет . Пусть это утонет. Я бы дважды подумал, прежде чем покупать шестнадцатилетнюю машину, а они все еще делают запчасти для 16-летних машин. Для Windows XP нет «запасных частей».

• Судя по всему, у вас плохая изоляция хоста. Допустим, что-то уже попадает в вашу сеть. Каким-то другим способом. Кто-то вставляет зараженную флешку. Он будет сканировать вашу внутреннюю сеть и распространяться на все, что может использовать уязвимость. Отсутствие доступа к Интернету здесь не имеет значения, потому что звонок приходит из дома

• Этот продукт безопасности Panda выглядит как программные ограничения. Программное обеспечение можно обойти, иногда легко. Могу поспорить, что приличное вредоносное ПО все еще может выйти в Интернет, если единственное, что его остановит, это часть программного обеспечения, работающая поверх сетевого стека. Он может просто получить права администратора и остановить программное обеспечение или службу. Таким образом , они не действительно имеют доступа в Интернет вообще. Это возвращается к изоляции хоста - при правильной изоляции хоста вы можете фактически отключить их от Интернета и, возможно, ограничить ущерб, который они могут нанести вашей сети.

Честно говоря, вам не нужно оправдывать замену этих компьютеров и / или операционной системы. Они будут полностью амортизироваться для целей бухгалтерского учета, они, вероятно, уже давно истекли после окончания гарантии или поддержки со стороны поставщика оборудования, они определенно не получают никакой поддержки от Microsoft (даже если вы помахали своим титановым American Express в лице Microsoft, они все равно не возьмут ваши деньги).

Любая компания, заинтересованная в снижении риска и ответственности, заменила бы эти машины много лет назад. Существует мало оправданий для поддержания рабочих мест вокруг. Я перечислил некоторые действительные оправдания выше (если он полностью отключен от всех без исключения сетей и живет в шкафу и запускает музыку лифта, я мог бы - МОЖЕТ - дать ей пропуск). Похоже, у вас нет веских оснований оставлять их рядом. Особенно теперь, когда вы знаете, что они есть, и вы видели ущерб, который может произойти (я предполагаю, что вы писали это в ответ на WannaCry / WannaCrypt).

Замена может быть излишней. Настройте шлюз. Машина шлюза не должна работать под Windows; Linux, вероятно, лучший выбор. Машина шлюза должна иметь две отдельные сетевые карты. Машины с Windows XP будут находиться в одной сети на одной стороне, остальная часть мира - на другой стороне. Linux не будет маршрутизировать трафик.

Установите Samba и создайте общие ресурсы для машин XP, на которые можно писать. Скопируйте входящие файлы в конечный пункт назначения. rsyncбудет логичным выбором.

Используя iptables, заблокируйте все порты, кроме тех, которые используются для Samba. Блокируйте исходящие соединения Samba на стороне, где есть компьютеры с XP (чтобы ничто не могло записать на компьютеры с XP), и ** все * входящие соединения на другой стороне (так что ничто не может записать на машину с Linux вообще) - возможно, с помощью одного жестко закодированное исключение для SSH, но только с IP вашего ПК управления.

Для взлома машин с XP теперь требуется взлом промежуточного сервера Linux, что положительно отвергает все соединения, поступающие со стороны, отличной от XP. Это то, что известно как глубокоэшелонированная защита . Хотя, возможно, еще существует какая-то неудачная комбинация ошибок, которая позволит решительному и знающему хакеру обойти это, вы будете говорить о хакере, который специально пытается взломать эти 15 компьютеров с XP в вашей сети. Ботнеты, вирусы и черви, как правило, могут обойти только одну или две распространенные уязвимости и редко могут работать в разных операционных системах.

Эти выходные, касающиеся WannaCry, должны были ясно дать понять, что абсолютно необходимо заменять Windows XP и подобные системы везде, где это возможно.

Даже если MS выпустит необычный патч для этой древней ОС, нет никакой гарантии, что это повторится снова.

Мы используем некоторые машины под управлением Windows XP для конкретного (устаревшего) программного обеспечения, мы старались как можно больше перемещаться на виртуальные машины, используя Oracle VirtualBox (бесплатно), и я бы рекомендовал вам сделать то же самое.

Это дает несколько преимуществ;

Номер 1 для вас - это то, что вы можете очень жестко контролировать доступ к сети виртуальной машины извне (не устанавливая ничего внутри Windows XP), и вы получаете выгоду от защиты более новой ОС хост-машины и любого работающего на ней программного обеспечения безопасности.

Это также означает, что вы можете перемещать виртуальную машину между различными физическими машинами / операционными системами, когда происходят обновления или сбои оборудования, легко создавайте резервные копии, в том числе сохраняйте снимок состояния «заведомо исправная работа» перед применением любых обновлений / изменений.

Мы используем одну виртуальную машину для каждого приложения, чтобы сохранить сегрегацию. Пока вы сохраняете корректный UUID загрузочного диска, установка Windows XP не возражает.

Этот подход означает, что мы можем раскрутить виртуальную машину для выполнения конкретной задачи с минимальной установкой Windows XP и одним необходимым программным обеспечением, без лишних усилий и ничего, что могло бы сбить его с толку. Ограничение доступа к сети машины значительно снижает уязвимость и не позволяет Windows XP удивлять вас обновлениями, которые могут сломать вещи или еще хуже.

Как кто-то предлагал ранее, рассмотрите возможность усиления изоляции по отношению к остальной части сети.

Использование программного обеспечения на компьютере является слабым (поскольку оно опирается на сетевой стек ОС, который сам по себе может быть уязвим). Выделенная подсеть была бы хорошим стартом и лучшим решением на основе VLAN (это может быть устранено решительным злоумышленником, но оно остановит большинство атак «преступлений по возможности». Однако драйверы NIC должны поддерживать это). Лучше всего использовать выделенную физическую сеть (через выделенный коммутатор или VLAN на основе порта).

Да, их необходимо заменить. Любой пользователь Windows XP, подключенный к любой сети после WannaCry, просто напрашивается на неприятности.