作為一個(gè)大型軟件企業(yè)，當(dāng)微軟自身認(rèn)為有必要努力阻止用戶(hù)使用其某款產(chǎn)品時(shí)ksnip(屏幕截圖工具)，這種使用習(xí)慣的危害和其中蘊(yùn)含的安全風(fēng)險(xiǎn)自然是很?chē)?yán)重的。到了不妥協(xié)的地步。

在正式討論軟件升級(jí)這個(gè)問(wèn)題之前，我們先來(lái)看一個(gè)例子：微軟去年推出了一個(gè)單獨(dú)的網(wǎng)站，旨在號(hào)召用戶(hù)徹底停止使用IE 6，推出了十多個(gè)多年前（2001年）推出了“祖父”瀏覽器產(chǎn)品。該網(wǎng)站的口號(hào)是“真正的朋友不會(huì)坐視你繼續(xù)使用 IE6”，并竭盡全力鼓勵(lì)用戶(hù)切換到更新、更現(xiàn)代和更安全的瀏覽器版本。

這項(xiàng)努力的成果仍然有限：直到今天，超過(guò) 6% 的互聯(lián)網(wǎng)用戶(hù)（在中國(guó)高達(dá) 22%）繼續(xù)通過(guò) IE6 訪問(wèn)互聯(lián)網(wǎng)。并且瀏覽器已經(jīng)被嘲笑為“服務(wù)中最不安全的解決方案”（甚至六年前的尖刻評(píng)估）。

在企業(yè)方面，情況更加慘淡。根據(jù)研究公司 2009 年組織的一項(xiàng)調(diào)查，60% 的企業(yè)仍在使用 IE 6 瀏覽器。

作為一個(gè)大型軟件企業(yè)使用破解版adobe軟件的風(fēng)險(xiǎn)，當(dāng)微軟自身認(rèn)為有必要努力阻止用戶(hù)使用其某款產(chǎn)品時(shí)，這種使用習(xí)慣的危害和其中蘊(yùn)含的安全風(fēng)險(xiǎn)自然是很?chē)?yán)重的。到了不妥協(xié)的地步。

IE 6 的真實(shí)體驗(yàn)只是一個(gè)縮影和一些所謂的“舊軟件”——或遺留軟件——整體的一部分。為什么用戶(hù)和企業(yè)更喜歡舊的軟件并長(zhǎng)期堅(jiān)持使用？為什么使用舊的 軟件 會(huì)使自己面臨越來(lái)越多的安全威脅？我們可以做些什么來(lái)減輕這些風(fēng)險(xiǎn)？ ? （我們將在下一節(jié)中更詳細(xì)地討論這些主題，但在此之前，請(qǐng)確保您沒(méi)有在 IE6 中閱讀這篇文章 :)

難以消除的遺留物軟件

盡管技術(shù)市場(chǎng)的周期時(shí)間很短，產(chǎn)品變化很快，但一些 軟件 似乎擁有可怕的生命力，這讓我們很難在他們的生命終結(jié)之后過(guò)活。從用戶(hù)的設(shè)備上完全擦除它們。總的來(lái)說(shuō)，軟件剩余生命力持續(xù)存在的原因包括以下幾個(gè)方面：

前期投資。用戶(hù)已經(jīng)為產(chǎn)品支付了一筆費(fèi)用，自然希望盡可能延長(zhǎng)產(chǎn)品的使用壽命，降低使用成本。

培訓(xùn)費(fèi)用。在企業(yè)員工已經(jīng)花費(fèi)時(shí)間和精力（以及其他潛在資本）來(lái)學(xué)習(xí)產(chǎn)品使用的前提下，人們很難主動(dòng)對(duì)需要重新掌握的新事物產(chǎn)生興趣。

依賴(lài)技術(shù)支持。 軟件 往往與遺留系統(tǒng)配合良好，而一旦軟件 升級(jí)，舊系統(tǒng)往往會(huì)帶來(lái)額外的拖累，公司總是可以延遲系統(tǒng)更新。比如最新的 Adob??e Pro CS6 需要在 64 位版本的系統(tǒng)下運(yùn)行，所以還在使用 32 位系統(tǒng)的公司自然會(huì)傾向于繼續(xù)使用老版本的 Pro，因?yàn)樗麄儾幌敫抡麄€(gè)為此目的的平臺(tái)。即興發(fā)揮。

高度依賴(lài)舊產(chǎn)品。企業(yè)用戶(hù)很可能已經(jīng)圍繞遺留軟件建立了完整的業(yè)務(wù)運(yùn)行機(jī)制。一旦放棄原有架構(gòu)，重新建立內(nèi)部軟件定制組合，不僅會(huì)給企業(yè)帶來(lái)未知的新風(fēng)險(xiǎn)，也會(huì)給企業(yè)帶來(lái)新的風(fēng)險(xiǎn)。這將對(duì)業(yè)務(wù)產(chǎn)生巨大的負(fù)面影響。 IE 6 就是一個(gè)很好的例子：許多公司都有自定義的 ，其中最新版本的瀏覽器并不吸引人，但像 IE 6 這樣的古董卻方便、快速且根深蒂固。

當(dāng)然，這些項(xiàng)目遠(yuǎn)遠(yuǎn)不足以彌補(bǔ)軟件的負(fù)面影響，我們首先要認(rèn)識(shí)到，使用軟件本身肯定是一個(gè)錯(cuò)誤。作為企業(yè)用戶(hù)，最值得深思的就是中隱藏的安全漏洞軟件。

風(fēng)險(xiǎn)大于收益

繼續(xù)使用 軟件 可以節(jié)省時(shí)間和金錢(qián)，這表面上是一種企業(yè)利益，但這是一種幻想。一個(gè)早已被解決的安全漏洞可能仍然潛伏在遺留軟件中，給業(yè)務(wù)帶來(lái)災(zāi)難性后果，如果發(fā)生這種情況，時(shí)間和資金投入肯定遠(yuǎn)遠(yuǎn)超過(guò)維護(hù)最新版本軟件 例如，社?？ê托庞每ㄐ畔⑿孤妒录斐傻钠骄鶕p失超過(guò)700萬(wàn)美元。我相信沒(méi)有一家公司希望這種情況發(fā)生在自己身上。

軟件沒(méi)有完美的產(chǎn)品草地花紋筆刷下載，即使是最新的技術(shù)也不能完全避免安全風(fēng)險(xiǎn)。事實(shí)上，這有時(shí)甚至是保持 軟件 存在的一個(gè)強(qiáng)有力的理由——新產(chǎn)品可能包含更多未知和未被發(fā)現(xiàn)的安全問(wèn)題，因此它們相對(duì)成熟和完整，舊版本更可靠。這聽(tīng)起來(lái)似乎有道理，但如果沒(méi)有持續(xù)更新，舊版軟件 中的問(wèn)題會(huì)隨著時(shí)間的推移變得更糟。

讓我們談?wù)勥z留軟件產(chǎn)品中一些最令人擔(dān)憂的風(fēng)險(xiǎn)：

缺乏供應(yīng)商的支持。要始終為產(chǎn)品提供良好的更新服務(wù)，供應(yīng)商必須堅(jiān)持花錢(qián)維修。任何產(chǎn)品到了生命周期的盡頭，必然會(huì)失去供應(yīng)商的支持，自身的很多安全漏洞也沒(méi)有得到有效修復(fù)。我們完全理解供應(yīng)商傾向于將資源集中在開(kāi)發(fā)更多新版本上軟件，作為一個(gè)企業(yè)，推廣新產(chǎn)品總是比維護(hù)舊產(chǎn)品更重要。

對(duì)安全威脅的預(yù)期不足。顧名思義，軟件誕生于與當(dāng)今時(shí)代相比，在前瞻性安全威脅中必然相形見(jiàn)絀的時(shí)代。大部分技術(shù)都是由致力于闖入系統(tǒng)的黑客帶來(lái)的，而安全專(zhuān)家為此制定的保護(hù)策略也一直與時(shí)俱進(jìn)——也就是說(shuō)，更多的老產(chǎn)品被嵌入到安全系統(tǒng)中。思維。隨著時(shí)間的推移?？梢钥隙ǖ卣f(shuō)，軟件 中的安全機(jī)制遠(yuǎn)不如今天的技術(shù)。十年后，軟件在構(gòu)思上肯定會(huì)比現(xiàn)在更好，從今天的高度回首十年前的老產(chǎn)品，也會(huì)有一種“不行”的感覺(jué)吃吧”。

代碼重用。大多數(shù)軟件 產(chǎn)品從舊版本系列或其他產(chǎn)品中借用了一些代碼，這意味著舊版軟件 甚至可能包含一些比它們自身更早的安全威脅。

眾所周知的安全漏洞。一旦我們發(fā)現(xiàn)軟件中的安全漏洞，就會(huì)立即發(fā)布，以警示業(yè)界，以便專(zhuān)家找到合適的方法來(lái)修補(bǔ)或通過(guò)補(bǔ)丁修復(fù)它們。但這個(gè)過(guò)程也暴露給了黑客，他們可以從攻擊經(jīng)驗(yàn)中學(xué)習(xí)更多，掌握多年來(lái)的各種主流安全漏洞。可以說(shuō)，黑客對(duì)遺留軟件中的安全問(wèn)題進(jìn)行了多年的研究、摸索和實(shí)踐，而這段時(shí)間讓過(guò)時(shí)的產(chǎn)品在他們面前簡(jiǎn)直是易受攻擊。

補(bǔ)丁更新滯后。與之前的威脅相對(duì)應(yīng)的是，很多企業(yè)往往在廠商發(fā)布安全補(bǔ)丁后并沒(méi)有主動(dòng)部署。這使得遺留產(chǎn)品在延遲期間面臨嚴(yán)重的安全風(fēng)險(xiǎn)，延遲時(shí)間越長(zhǎng)，惡意人員越了解和熟悉這些安全漏洞，企業(yè)就越有可能面臨嚴(yán)重的安全風(fēng)險(xiǎn)。經(jīng)濟(jì)損失。

越來(lái)越復(fù)雜的黑客工具。當(dāng)新產(chǎn)品出現(xiàn)安全漏洞時(shí)，通常只有最精明和技術(shù)最熟練的頂級(jí)黑客才能成功利用它并實(shí)施攻擊。但隨著時(shí)間的推移，黑客工具包會(huì)不斷吸納最新最有效的小東西，而這種改進(jìn)甚至?xí)尭鄤側(cè)腴T(mén)的人嘗到惡意入侵的甜頭。目前廣為流傳的主流黑客工具包已經(jīng)很蠢了。他們甚至提供用戶(hù)友好的界面和在線教程指導(dǎo)。也許幾年后，任何使用辦公室軟件的人都會(huì)學(xué)會(huì)如何玩黑客。

依賴(lài)不安全的系統(tǒng)平臺(tái)。在某些情況下，遺留產(chǎn)品只能在特定的遺留系統(tǒng)環(huán)境中運(yùn)行。以 Pro 2006 為例，它無(wú)法支持 Vista 及以后的系統(tǒng)版本。也就是說(shuō)，即使 軟件 本身不構(gòu)成任何安全威脅，但它們所需的系統(tǒng)環(huán)境仍可能造成重大麻煩。例如使用破解版adobe軟件的風(fēng)險(xiǎn)，在微軟決定停止提供安全補(bǔ)丁后，僅在 XP 平臺(tái)上運(yùn)行的舊版 軟件 使我們的業(yè)務(wù)面臨風(fēng)險(xiǎn)。

當(dāng)然，并非所有舊版軟件 都存在相同級(jí)別的嚴(yán)重安全問(wèn)題。我想在這里提醒您，面向 Web 的應(yīng)用程序通常是最難處理的威脅來(lái)源，因?yàn)樗鼈冊(cè)试S異地訪問(wèn)或遠(yuǎn)程控制。盡可能不要在這些區(qū)域使用舊版 軟件。

防御策略

首先讓我們明確一點(diǎn)：更新始終是我們對(duì)抗遺留軟件安全風(fēng)險(xiǎn)的最佳選擇。雖然沒(méi)有產(chǎn)品敢斷言自己沒(méi)有任何安全漏洞，但新產(chǎn)品所蘊(yùn)含的安全理念和防護(hù)理念，絕對(duì)比老產(chǎn)品要好。也就是我們只要及時(shí)選擇新產(chǎn)品或者及時(shí)安裝新補(bǔ)丁花邊筆刷下載2，在一定時(shí)期內(nèi)我們是相對(duì)安全的。當(dāng)黑客發(fā)現(xiàn)新版本的弱點(diǎn)時(shí)，就會(huì)有新的補(bǔ)丁繼續(xù)保護(hù)我們的業(yè)務(wù)。

但有時(shí)保持最新并不容易。業(yè)務(wù)預(yù)算或軟件供應(yīng)商根本不提供新補(bǔ)丁可能會(huì)將我們暴露給惡意行為者。當(dāng)這種情況發(fā)生時(shí)，我們的傳統(tǒng)軟件不可避免地要應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境，以下策略應(yīng)該有助于降低安全風(fēng)險(xiǎn)：

使用虛擬化技術(shù)進(jìn)行隔離。虛擬化提供了無(wú)數(shù)偉大的用途，其中最重要的是為高風(fēng)險(xiǎn)平臺(tái)創(chuàng)建沙箱環(huán)境，以將它們與關(guān)鍵系統(tǒng)隔離開(kāi)來(lái)。例如，您可以利用像 這樣的免費(fèi) 軟件 為遺留應(yīng)用程序提供 95 或 XP 系統(tǒng)環(huán)境，同時(shí)保持現(xiàn)有現(xiàn)代系統(tǒng)的安全。更難能可貴的是，虛擬系統(tǒng)可以完全切斷內(nèi)部網(wǎng)絡(luò)與外部環(huán)境的聯(lián)系，從而打造出堅(jiān)實(shí)的企業(yè)防御體系。

虛擬補(bǔ)丁。有時(shí)，遺留產(chǎn)品沒(méi)有可用的補(bǔ)丁可以直接用于修復(fù)或解決安全漏洞，但我們通常能夠通過(guò)所謂的“虛擬補(bǔ)丁”解決高風(fēng)險(xiǎn)應(yīng)用程序中的某些已知漏洞。例如，遺留數(shù)據(jù)庫(kù)產(chǎn)品容易受到 SQL 注入攻擊——也就是說(shuō)，當(dāng)向數(shù)據(jù)庫(kù)發(fā)送查詢(xún)請(qǐng)求時(shí)，攻擊者可以通過(guò)小技巧偷偷修改或竊取受保護(hù)的數(shù)據(jù)。虛擬修補(bǔ)涉及檢查數(shù)據(jù)包是否符合防火墻或制定有針對(duì)性的 Web 服務(wù)器規(guī)則以有效地查找和檢測(cè) SQL 注入語(yǔ)法，最終允許在這些惡意請(qǐng)求到達(dá)易受攻擊的舊產(chǎn)品之前被阻止。