PCs com Windows XP na rede da empresa

Em nossa pequena empresa, estamos usando cerca de 75 PCs. Servidores e desktops / laptops estão atualizados e são protegidos usando o Panda Business Endpoint Protection e o Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

No entanto, em nosso ambiente de produção, temos cerca de 15 PCs com Windows XP em execução. Eles estão conectados à rede da empresa. Principalmente para fins de conectividade e log de SQL. Eles têm acesso de gravação limitado aos servidores.

Os PCs com Windows XP são usados ​​apenas para um aplicativo de produção dedicado (personalizado). Nenhum software de escritório (email, navegação, escritório, ...). Além disso, cada um desses PCs XP possui controle de acesso à web do Panda, o que não permite acesso à Internet. As únicas exceções são para atualizações do Windows e do Panda.

Do ponto de vista da segurança, é necessário substituir esses PCs com Windows XP por novos?

é necessário, do ponto de vista da segurança, substituir esses PCs XP por novos PCs.

Não, não é necessário substituir os PCs. Mas é necessário atualizar esses sistemas operacionais (isso também pode envolver a substituição desses PCs - não sabemos. Mas se eles executam hardware especializado, pode ser possível manter o PC).

Existem muitas histórias do mundo real sobre PCs supostamente "com falta de ar" sendo infectados. Isso pode acontecer independentemente do seu sistema operacional, mas ter um sistema operacional não atualizado e super antigo torna-o ainda mais em risco.

Especialmente porque parece que seus computadores estão protegidos por uma restrição de software para bloquear o acesso à Internet. Provavelmente é fácil ignorar. (ressalva: nunca ouvi falar desse controle de acesso à web do Panda, mas certamente parece um software no host).

O problema que você provavelmente enfrentará é a falta de cooperação do fornecedor. É possível que os fornecedores se recusem a ajudar, queiram cobrar US $ 100.000 por uma atualização ou tenham simplesmente falido e o IP jogado fora.

Se for esse o caso, é algo que a empresa precisa orçar.

Se realmente não há outra opção, a não ser manter o sistema operacional de 16 anos sem patches (talvez seja um torno CNC ou uma máquina de trituração ou ressonância magnética) de um milhão de dólares, será necessário fazer um isolamento sério do host baseado em hardware. Colocar essas máquinas em sua própria vlan com regras de firewall extremamente restritivas seria um bom começo.

Parece que você precisa de alguma ajuda a esse respeito, então como é isso:

• O Windows XP é um sistema operacional de 16 anos. Dezesseis anos de idade . Deixe isso acontecer. Eu pensaria duas vezes antes de comprar um carro de dezesseis anos, e eles ainda fazem peças de reposição para carros de 16 anos. Não há 'peças de reposição' para o Windows XP.

• Pelo que parece, você tem um isolamento ruim do host. Digamos que algo já entre na sua rede. Por alguns outros meios. Alguém se conecta a um pendrive infectado. Ele vai escanear sua rede interna e se propagar para qualquer coisa que tenha uma vulnerabilidade que possa ser explorada. A falta de acesso à Internet é irrelevante aqui, porque a ligação vem de dentro da casa

• Este produto de segurança Panda parece ter restrições baseadas em software. O software pode ser ignorado, às vezes facilmente. Aposto que um pedaço decente de malware ainda pode sair para a Internet, se a única coisa que o parar é um software em execução no topo da pilha de rede. Poderia apenas obter privilégios de administrador e interromper o software ou serviço. Portanto, eles realmente não têm acesso à Internet. Isso volta ao isolamento do host - com o isolamento adequado do host, você pode realmente tirá-los da Internet e talvez limitar o dano que eles podem causar à sua rede.

Honestamente, você não precisa justificar a substituição desses computadores e / ou sistema operacional. Eles serão totalmente depreciados para fins contábeis, provavelmente já terão passado do fim de qualquer garantia ou suporte do fornecedor de hardware, eles definitivamente terão passado por qualquer tipo de suporte da Microsoft (mesmo que você acene com o titânio American Express na cara da Microsoft, eles ainda não aceitam seu dinheiro).

Qualquer empresa interessada em reduzir riscos e responsabilidades teria substituído essas máquinas anos atrás. Há pouca ou nenhuma desculpa para manter as estações de trabalho por perto. Eu listei algumas desculpas válidas acima (se estiver totalmente desconectado de toda e qualquer rede e viver em um armário e executar a música do elevador, eu poderia - PODE - dar uma chance). Parece que você não tem nenhuma desculpa válida para deixá-los por perto. Especialmente agora que você está ciente de que eles estão lá e viu o dano que pode ocorrer (presumo que você o tenha escrito em resposta ao WannaCry / WannaCrypt).

A substituição pode ser um exagero. Configure um gateway. A máquina do gateway não deve executar o Windows; O Linux é provavelmente a melhor escolha. A máquina de gateway deve ter duas placas de rede separadas. As máquinas com Windows XP estarão em uma rede de um lado e o restante do mundo no outro lado. O Linux não roteará o tráfego.

Instale o Samba e faça compartilhamentos para as máquinas XP para gravar. Copie os arquivos recebidos para o destino final. rsyncseria a escolha lógica.

Usando iptables, bloqueie todas as portas, exceto aquelas usadas para o Samba. Bloqueie as conexões de saída Samba no lado que possui máquinas XP (para que nada possa gravar nas máquinas XP) e ** todas * as conexões de entrada no outro lado (para que nada possa gravar na máquina Linux) - talvez com um único exceção codificada para SSH, mas apenas a partir do IP do seu PC de gerenciamento.

Para hackear as máquinas XP agora é necessário invadir um servidor Linux no meio, o que rejeita positivamente todas as conexões vindas do lado não-XP. Isso é conhecido como defesa em profundidade . Embora seja possível que ainda exista uma combinação infeliz de bugs que permita a um hacker determinado e experiente contornar isso, você estaria falando de um hacker que está especificamente tentando invadir aquelas 15 máquinas XP na sua rede. Botnets, vírus e worms normalmente podem ignorar apenas uma ou duas vulnerabilidades comuns e raramente podem funcionar em vários sistemas operacionais.

As notícias deste final de semana sobre o WannaCry deveriam ter deixado claro, sem sombra de dúvida, que é absolutamente necessário substituir o Windows XP e sistemas similares sempre que possível.

Mesmo que a MS tenha lançado um patch extraordinário para este sistema operacional antigo, não há garantia de que isso ocorra novamente.

Usamos algumas máquinas Windows XP para software específico (legado), tentamos mudar o máximo possível para máquinas virtuais usando o Oracle VirtualBox (gratuito), e eu recomendo que você faça o mesmo.

Isso oferece vários benefícios;

O número 1 para você é que você pode controlar o acesso à rede da VM com muita força a partir do exterior (sem instalar nada dentro do Windows XP) e se beneficia da proteção do sistema operacional mais recente da máquina host e de qualquer software de segurança em execução nela.

Isso também significa que você pode mover a VM por diferentes máquinas / sistemas operacionais físicos à medida que ocorrem atualizações ou falhas de hardware, fazendo o backup facilmente, incluindo a capacidade de salvar uma captura instantânea do estado "conhecido como bom funcionamento" antes de aplicar quaisquer atualizações / alterações.

Usamos uma VM por aplicativo para manter as coisas super segregadas. Contanto que você mantenha o UUID da unidade de inicialização correto, a instalação do Windows XP não se importa.

Essa abordagem significa que podemos ativar uma VM para uma determinada tarefa que tenha uma instalação mínima do Windows XP e o único software necessário, sem nenhum problema extra e nada para desmontá-lo. A limitação do acesso à rede da máquina reduz bastante a vulnerabilidade e impede o Windows XP de surpreendê-lo com qualquer atualização que possa quebrar coisas ou pior.

Como alguém sugeriu anteriormente, considere fortalecer o isolamento em relação ao restante da rede.

Confiar no software da máquina é fraco (porque depende da pilha de rede do SO, que pode ser vulnerável). Uma sub-rede dedicada seria um bom começo e uma solução baseada em VLAN melhor (isso pode ser aproveitado por um invasor determinado, mas impedirá a maioria dos ataques de "crimes de oportunidade". Os drivers da NIC precisam dar suporte a isso). Uma rede física dedicada (via switch dedicado ou VLAN baseada em porta) é a melhor.

Sim, eles precisam ser substituídos. Qualquer pessoa executando máquinas Windows XP conectadas a qualquer tipo de rede pós-WannaCry está apenas pedindo problemas.