Biztonsági vezetők első számú szabálya, hogy nem lehet egy szervezetben elavult, frissítetlen rendszer. Persze más az elmélet, és más a gyakorlat – ahogy azt ismét, sokadjára erősített meg a Duo Security egy friss tanulmánya (a teljes tanulmány pdf-ben innen tölthető le), melyben kifejezetten a Microsoftra kihegyezve elemezték azokat a telematikai adatokat, melyeket ügyfelei rendszereiből gyűjtöttek.

Kevés van belőle, de annál veszélyesebb

Globálisan egy-egy százalék a Widows XP és a Vista részesedése a vállalati környezetben futó Windowsok között. A felmérés persze nem reprezentatív, hiszen a felmérés csak a Duo Security ügyfeleitől begyűjtött információkon alapul, de a trendet egy ilyen felmérés is jól mutatja.

De mi a gond itt, hiszen a két rendszer aránya akár elhanyagolhatónak tűnhet. Szakértők már az XP támogatási ciklusának vége előtt is arra hívták fel a figyelmet, hogy a támogatás nélküli Windows XP újabb támadási felület ad az aktuális, még támogatott rendszereknek. A reverse engineering, azaz a visszafejtésre alapozó sérülékenységkutatások révén ugyanis olyan sebeszhetőségeket lehet felfedezni, amit például a Windows 7-ben javítottak, de a Windows XP-ben is kihasználható. És ha egy rendszerben van egy ilyen védtelen XP, azon keresztül akár kiterjedtebb támadásokat is lehet indítani.
 

Ezért is fontos lenne az XP-k mielőbbi leváltása, vagy ha nem megy, akkor a megfelelő izoláció. A Duo elemzése szerint egyébként ma már a Windows 7 is sok szempontból elavultnak tekinthető. Bár a Microsoft rendszeresen ad ki hozzá biztonsági javításokat, védelmi képességei elmaradnak a Windows 10-é mögött. Egyelőre azonban a vállalati környezetben futó Windowsok derékhadát a 7-esek adják (65 százalék, lásd a fenti grafikont), a Windows 10 részesedése pedig körülbelül 24 százalék. (A StatCounter októberben egyébként az összes operációs rendszer között több mint 24 százalékot mért a Windows 10-nek.

Egyik probléma hozza magával a másikat

Mint arra összefoglalójában a Biztonságportál, az XP nem csak a javítatlan sebezhetőségei és az elavult védelmi megoldásai miatt veszélyes. Egy ilyen védtelen operációs rendszer kockázatok láncolatát indikálja. Ott van például az, hogy az XP-s gépek több mint felén még az Internet Explorer 8-at használják, mivel lehetőségük sincs frissítésre. A 8-as IE viszont biztonsági szempontból nem igazán nevezhető korszerűnek.

A böngésző pedig hozza magával a hozzá kapcsolódó egyéb alkalmazások, kiegészítők veszélyforrásait. Hogy csak a két legismertebbet említsük: a Flash és a Java. Jól mutatja ezt a problémát, hogy míg a Chrome-ok 89 százalékán naprakész Flash Player fut, addig ez mindössze az Internet Explorerek 38 százalékára igaz.
 

A Duo szerint ennek legtöbbször nem is valamiféle hanyagság az oka, hanem az, hogy a vállalatok olyan alkalmazásokat használnak, melyek csak az elavult IE-verzióval képesek együttműködni. Ilyenkor a vállalat mérlegel, és sokszor arra jut, hogy a váltás jóval többe kerülne, mint egy esetleges biztonsági incidens okozta kár.

A kompatibilitás nagy úr

Persze nem csak a régi webes alkalmazásokkal lehet probléma. A tanulmány szerint a váltás akadálya gyakran az öregedő hardverpark is, amely nem felel meg teljes mértékben az újabb operációs rendszereknek, alkalmazásoknak. És persze ott van az is, hogy egy migráció a legtöbbször meglehetősen erőforrás-igényes feladat, különösen egy nagyobb szervezetnél.

Azzal kevesen számolnak, hogy a régi rendszerek is generálnak plusz költségeket. Ha ugyanis nincs lehetőség az újabb-korszerűbb rendszerekre váltani – bár nyilván ez a legjobb megoldás –, többet kell költeni a védelemre, meg kell erősíteni a patch menedzsment folyamatokat. Arra is külön kell figyelni, hogy le legyen tiltva a Flash Player és a Java, ha nincs rájuk szükség.