傳統(tǒng)的微軟操作系統(tǒng)(OS)可能會一直伴隨著我們，操作系統(tǒng)使用統(tǒng)計數據顯示，傳統(tǒng)操作系統(tǒng)的總市場份額仍在10%以上。Windows的總安裝基數為13億，大約有1.5億個終端仍在運行舊版操作系統(tǒng)。

數十萬組織的終端和服務器采用不受支持的操作系統(tǒng)。如果您在制造業(yè)、金融業(yè)、醫(yī)療業(yè)或教育業(yè)，您可能非常清楚遺留系統(tǒng)帶來的安全問題。

SANS Institute最近的一項調查發(fā)現，54.3%的公司報告說，他們最大的安全挑戰(zhàn)之一是將傳統(tǒng)技術與現代ICS和OT系統(tǒng)集成。

傳統(tǒng)IT系統(tǒng)的風險

許多公司也面臨著從其環(huán)境中刪除原有的應用程序的挑戰(zhàn)。存在著“如果它沒有壞……”的想法。

傳統(tǒng)環(huán)境可以繼續(xù)正常地運行，是它們成為遺留環(huán)境的首要原因。對于許多考慮遷移成本的企業(yè)決策者來說，盡可能長時間地保留過時的系統(tǒng)是有意義的。

不幸的是，傳統(tǒng)IT系統(tǒng)的風險隨著時間的推移而變得復雜，廢棄操作系統(tǒng)中不斷出現的漏洞就是明證。例如，Windows7在進入“生命周期結束”后，在2023年發(fā)布了超過43個CVE，而Windows Server2008有95個CVE。

舊版本的應用程序(如已停用的Microsoft Office版本或自定義業(yè)務應用程序)擴展了攻擊媒介。舊版本的應用程序是威脅參與者的金礦，它們的漏洞在被發(fā)現很長時間后可以被回收到新的漏洞中。例如，一個鮮為人知的2004年的ApacheWeb服務器CVE被利用來進行加密挖掘。舊版本系統(tǒng)的硬件方面，如未打補丁的基本輸入輸出系統(tǒng)，可能會增加這種風險。

新版本的系統(tǒng)并不完美，但通常情況下，系統(tǒng)或應用程序越舊，破壞就更容易達成。

傳統(tǒng)IT安全挑戰(zhàn)

傳統(tǒng)的Windows系統(tǒng)具有設計限制，缺乏EDR查看操作系統(tǒng)和進程通信所需的安全體系結構。具體地說，較舊的操作系統(tǒng)具有有限的事件跟蹤(ETW)，并且缺乏現代系統(tǒng)常見的高級反利用功能。例如，AMSI、CFG、ACG等。

這種可見性的缺乏極大地限制了它們的探測能力。從預防的角度來看，許多EDR依賴Microsoft Defender AV進行基線保護，包括Microsoft基于簽名和機器學習的檢測、威脅情報和響應能力。但Defender AV是在2015年才與Windows 10一起發(fā)布的，因此在2015年前的Windows系統(tǒng)上運行的EDR提供的預防能力有限。從計算角度來看，傳統(tǒng)系統(tǒng)存在操作系統(tǒng)設計限制，通常無法運行終端保護平臺(EPPS)和終端檢測與響應(EDR)等高級安全解決方案。

因此，傳統(tǒng)系統(tǒng)通常只受基本、過時的防病毒(AV)解決方案保護。對于依賴高級EDR來保護其較新系統(tǒng)的組織來說，這會造成高度不一致的攻擊面。

為了應對這些挑戰(zhàn)，Morphisec與來自ITProTV的微軟專家Adam Gordon舉行了一次網絡研討會。我們討論了：

運行遺留系統(tǒng)的安全風險

哪個是更大的傳統(tǒng)挑戰(zhàn)——終端還是服務器

為什么將傳統(tǒng)終端遷移到現代操作系統(tǒng)如此困難？

為什么傳統(tǒng)的EPP和EDR工具難以保護遺留系統(tǒng)？

改進遺留系統(tǒng)安全狀況的實用建議

使用自動移動目標防御保護舊版本IT系統(tǒng)

傳統(tǒng)系統(tǒng)是低帶寬環(huán)境，缺乏操作系統(tǒng)體系結構和計算能力，無法支持基于掃描的安全解決方案，如下一代防病毒(NGAV)、EPP和EDR/XDR。

然而，Morphisec的自動移動目標防御(AMTD)可以保護Windows和Linux傳統(tǒng)系統(tǒng)免受高級網絡攻擊，如無文件攻擊、內存攻擊、勒索軟件和供應鏈攻擊。6MB的Morphisec足夠輕量，可以在Raspberry PI上運行，不需要更新簽名或安全標志，不依賴傳統(tǒng)操作系統(tǒng)所缺乏的可見性功能，因為它不需要互聯網連接，甚至可以保護系統(tǒng)。

Morphisec的AMTD的工作原理是變形運行時內存環(huán)境，移動系統(tǒng)資產，并將誘餌留在原來的位置。

受信任的系統(tǒng)進程可以毫無問題地運行，對攻擊者隱藏起來，而任何試圖與誘餌接觸的代碼都會被捕獲以進行取證分析。

Gartner稱AMTD為“..一種新興的改變游戲規(guī)則的技術，用于提高網絡防御能力。”

虹科入侵防御方案

虹科入侵防御解決方案，是移動目標防御技術的領導者，已經證明了這項技術的威力。我們已經在5000多家企業(yè)部署了MTD驅動的漏洞預防解決方案，每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上，摩菲斯目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，摩菲斯客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

• 勒索軟件(例如，Conti、Darkside、Lockbit)
• 后門程序(例如，Cobalt Strike、其他內存信標)
  
• 供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)
  
• 惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

虹科摩菲斯為關鍵應用程序，windows和linux本地和云服務器提供解決方案，2MB大小快速部署。