С прекращением поддержки компанией Microsoft версий Windows XP и Office 2003 огромное количество компьютеров (по некоторым оценкам, до 200 млн. шт. только в корпоративном секторе по всему миру) оказалось в ситуации, когда так называемые угрозы нулевого дня превращаются для них в постоянные. Интернет забит предупреждениями о том, чем это грозит тем, кто намерен продолжить эксплуатацию систем с Windows XP. Хотя, как показал проведенный нашим изданием на сайте PC Week Live опрос читателей, волнует это далеко не всех, большинство компаний все же планируют переход или уже переходят на новые версии ОС, в том числе и по причине потенциального роста угроз безопасности. Аналогичный процесс активно проходит и в мире, о чем наглядно свидетельствуют опубликованные Gartner предварительные итоги продаж ПК в I кв. 2014 г.. Вместе с тем перевод парка ПК на более современные ОС — процесс не всегда быстрый, особенно если увязывается с обновлением самого компьютерного парка. Компания “Доктор Веб”, например, объявила о том, что “в интересах своих клиентов продолжит поддержку антивирусных продуктов Dr.Web для защиты Windows XP до конца 2017 года”.
Данные самой Microsoft показывают, что процент инфицированных компьютеров с той или иной версией ОС тем меньше, чем новее установленная на них версия. Эта зависимость прослеживается даже при сравнении показателей инфицирования для систем Windows XP SP2 и Windows XP SP3 в течение двух лет после отказа Microsoft от поддержки Windows XP SP2 (см. график). Доверять этим данным или нет — личное дело каждого, но в целом они представляются вполне логичными. И если организация, продолжающая эксплуатировать Windows XP, понимает, что ее ИБ-риски возрастают, то ей нужно что-то с этим делать.
Бесплатных (или, скорее, условно-бесплатных) вариантов действий, по сути, всего два:
- смириться с увеличением рисков, сочтя их приемлемыми, и оставить все как есть (в Сети можно найти комментарии системных администраторов, которые и ранее не устанавливали обновления Microsoft, считая, что они захламляют ОС и отрицательно сказываются на ее производительности, а для обеспечения ИБ достаточно имеющихся у них дополнительных уровней защиты);
- изолировать системы с Windows XP от Интернета и корпоративной сети, а заодно заблокировать, залить компаундом, залепить пластилином или просто вывести из строя все USB-порты, чтобы никто никогда ничего к ним не мог подключить (где и как использовать такой компьютер — другой вопрос).
По платному пути — с продлением поддержки от Microsoft — уже пошла, например, Великобритания, и он, видимо, никому не заказан, но обойдется точно не дешево (некоторые эксперты рекомендуют ориентироваться на сумму порядка 200 долл. на один компьютер в год).
Соответственно, возникает поле для предложений со стороны третьих компаний, специализирующихся на ИБ. И, видимо, они не заставят себя ждать — буквально на следующий день после окончания поддержки Windows XP я, например, получил письмо с предложением от компании Lumension (никогда про такую не слышал, но судя по представленной на сайте информации, она работает в области ИБ и насчитывает более 5000 заказчиков по всему миру). Ее эксперты рекомендуют компенсировать возросшие ИБ-риски в связи с эксплуатацией систем на базе Windows XP с помощью ПО контроля за исполняемыми приложениями, базирующегося на белых списках допущенных к запуску на таких компьютерах программных модулей. По мнению этой компании, данный способ решения проблемы является наиболее эффективным.
Очевидно, и российским ИБ-компаниям есть, что предложить своим клиентам. Однако, может быть, те, кто спокойно воспринимает ситуацию, не так уж не правы? “В принципе, с точки зрения специалиста по ИБ, большой проблемы в прекращении поддержки ОС Windows ХР нет”, — считает Сергей Вихорев, заместитель генерального директора компании “ЭЛВИС-ПЛЮС” по развитию. Во-первых, отмечает он, эта ОС используется давно и ее исследовали очень многие специалисты и хакеры. Многое из того, что было в ней “не так”, уже найдено. Во-вторых, как бы ни были развиты встроенные в ОС механизмы защиты информации, они не перекрывают всего спектра задач по ИБ и требуют применения дополнительных средств защиты, которые, в свою очередь, обладают достаточно широким спектром функций безопасности, зачастую дублирующих встроенные механизмы ОС. “За многолетнюю практику мне еще не приходилось видеть систем безопасности информации, полностью ориентированных на использование только механизмов ОС, — пояснил г-н Вихорев. — Отсюда следует, что даже если будут выявлены новые уязвимости, вполне вероятно, что они будут устранены дополнительными средствами защиты”.
Гораздо большую проблему для корпоративных пользователей Windows XP, по мнению Сергея Вихорева, представляет отставание в функциональных возможностях этой ОС: “Как всегда, что-то с чем-то не будет стыковаться, а исправить проблему будет некому”. Данную точку зрения в целом подтверждают и результаты нашего опроса, участники которого поставили вопросы безопасности только на третье место (хотя и с очень небольшим отрывом) среди основных мотивов для перехода c Windows XP на другие ОС.
Не видит повода для срочного принятия активных мер по защите используемых систем с Windows XP и Леонид Плетнев, старший аудитор отдела безопасности банковских систем департамента консалтинга и аудита компании “Информзащита”: “Если организация не может перейти на новую версию ОС, мы рекомендуем в случае выявления новой уязвимости Windows XP провести ее анализ с точки зрения применимости к ИТ-инфраструктуре, а также оценить риск реализации угрозы через эту уязвимость. На основании этого разрабатываются и внедряются компенсационные меры, которые помогают поддерживать ИБ. Кроме того, мы рекомендуем установить новые ОС прежде всего на хосты, которые предоставляют публичные сервисы, так как они будут в первую очередь подвержены атакам злоумышленников. Для других случаев необходима экспертная оценка каждой конкретной уязвимости для отдельно взятой организации”.