Hva gjør man når man ikke kan oppgradere?


Hva gjør man når man ikke kan oppgradere?


Mange virksomheter har systemer som av en eller annen grunn bruker eldre operativsystemer. Dette representerer en utfordring, da man ikke får fulgt anbefalte sikkerhetsoppdateringer. Svaret ligger tradisjonelt i at man gjør en «hardening» av systemet, ved å manuelt begrense hvilke prosesser som kan kjøres. Men hva gjør man når nye sikkerhetsutfordringer dukker opp? Har man oversikt over systemene, ønsker man å bruke tid på slikt vedlikehold? Vi mener det er mer fornuftig å automatisere, slik at man både oppnår god sikkerhet og unngår tidkrevende vedlikehold. Kall det gjerne vakuumpakking av tjenester.

Symantec Data Center Security: Server Advanced (DCS:SA) er verktøyet vi anbefaler for å sikre eldre systemer, som for eksempel Windows server 2003. DCS:SA herder og overvåker serveren på en slik måta at bare det man vil skal kjøre, får lov.

Kontinuerlig oppgradering er noe IT organisasjoner er vel kjent med. Men vi vet også at det er mange grunner til at vi ikke har mulighet til å oppgradere applikasjoner eller operativsystem. Hva gjør vi med et usupportert operativsystem som man ikke lenger får oppdateringer til?

Det er mye fokus på de nyeste operativsystemene Windows 10 og server 2016. Dette er moderne og sikre operativsystemer. Men vi kan ha applikasjoner, noen ganger forretningskritiske, som ikke funger på de nyeste plattformene. Ofte er tilgjengelig tid og ressurser låst til utvikling av ny forretningsfunksjonalitet. Det er litt over 2 år til 2008 servere ikke lenger er supportert. Det gir et tidspress hvis miljøet er stort nok.

Har man en applikasjon som kjører på for eksempel server 2003 så må forretningen gjøre noen vanskelige valg som for eksempel:

  • Kjøre applikasjonen på en usupportert plattform
  • Kjøre en aggressiv oppgradering/migrasjons strategi for forretningskritiske applikasjoner
  • Kjøpe en dyr utvidet supportavtale med Microsoft og applikasjons leverandør.
  • Implementere en sikkerhetsløsning for å herde og overvåke de usupporterte systemene

Hva er egentlig utfordringen med å kjøre eldre systemer?

Når man skal vurdere hva man skal gjøre med de eldre systemene sine så må man også vite hvorfor man må gjøre noe.

Det blir funnet nye sårbarheter i gamle operativsystemer hele tiden. Det er en kjent angrepsvektor å sikte seg inn på gamle operativsystemer, spesielt ved mangelfull ny sikkerhetsoppdatering. Gamle trusler som nye operativsystemer er immune mot, kan ramme eldre systemer. Det kan holde at det er noen som tar med en BYOD (Bring-Your-Own-Disaster) PC inn i nettverket. Den kan ha gammel malware som nettverket er immunt mot, men på den ene 2003 maskinen slipper angrepet inn.

Med GDPR får manglende IT-sikkerhet også potensielt økonomiske konsekvenser. Om du har en usupportert plattform, som du ikke kan dokumentere at du har sikret og man mister persondata kan konsekvensene være betydelige.

Tap av omdømme og kostnader ved datainnbrudd: Ubeskyttede systemer øker sannsynligheten for at data kommer på avveie. Tap av omdømme, men også kostnadene ved å rydde opp kan være omfattende

Selv om man betaler for ekstra support fra Microsoft og får oppdateringer, vil disse patchene være spesiallaget og mindre testet en standard patcher. Får man nye patcher fra Microsoft på et gammelt operativsystem, er det ikke sikkert at applikasjonsleverandøren har tilgang til de samme oppdateringene. All testing av oppdateringer faller dermed på kunden.

Hva er valgene?

Det er etter vårt syn fire mulige valg for eldre systemer

Gjør ingenting. Da bør man i så fall ha en risiko- og konsekvensvurdering som man kan stå for i ettertid.

Migrere applikasjonene til ny plattform. Dette alternativet vil kanskje være målet, med et prosjekt på å oppgradere/migrere applikasjonen til nytt operativsystem kan også innebære risiko. Det er ikke sikkert applikasjonen lar seg kjøre på nytt operativsystem. Derfor må det eldre systemet holdes i gang til det nye systemet er på plass.

Utvidet support avtale hos Microsoft og applikasjonsleverandør. Selv om man kjøper en kostbar utvidet avtale, så er det normalt ikke knyttet noen SLA til leveranse av disse. Applikasjonsleverandøren din vil ikke ha tilgang til samme patcher, så all testing hviler på dine skuldre. Av alle opsjonene så blir denne fort den dyreste.

Implementere en sikkerhetsløsning for å herde og overvåke de usupporterte systemene. Løsningen bør herde serveren med Intrusion Prevention System, som stopper ukjent kode fra å kjøre. Dette gir mulighet for å stoppe alle ukjente applikasjoner og låse ned serveren så bare de rettighetene og tjeneste du kjenner får kjøre. Med riktig overvåkning, kan man minimere sjansen for at noe skjer og nesten eliminere nedetiden.

Vi mener alternativ det siste er det klart beste. Det gir bedre sikkerhet, lavere kostnad og er mer forutsigbart enn de andre alternativene.

Symantec Data Center Security

Symantec Data Center Security: Server Advanced vil sikre eldre systemer som server 2003 og andre inkludert Windows XP, Vista, HP-UX eller Linux om du har det. Så du kan:

  • Minimere nedetiden
  • Kjøre plattform migrasjonsprosjektet innenfor tidsrammer og budsjett som forretningen kan leve med.
  • Være innenfor GDPR kravet om en rimelig IT-sikkerhet på eldre systemer
  • Legge sikkerhet og herdingen på applikasjonsnivået. Ikke på nettverk, perimeter eller andre sikkerhetssoner.

Symantec Data Center Security: Server Advanced har følgende egenskaper for å sikre dine eldre systemer.