古いネットワークを安全に使用するXPビジネスネットワークのマシン
私は、キッチンテーブルを切るために構築されたマシンが2台あるクライアントを持っています。これらのマシンはまだWindowsで動作しますXP=で、インターネットに接続されています。
今、私はこれらの人々がOSからアップデートせずにこれらのマシンをできるだけ安全に実行できる方法を見つける必要があります(不可能です。マシンからメーカーに問い合わせました)。
問題は、製造元が更新をプッシュできるように、これらのマシンをインターネットに接続する必要があることです。
これらのマシンを稼働させ、インターネットにできるだけ安全に接続するためのベストプラクティスは何ですか?
これらのサポート対象外の脆弱なマシンを組織内に配置することはそれほど珍しいことではありません。脆弱性の影響を判断するには、リスク評価を実行することが重要です。
高レベルのリスク評価
脅威:
- インターネット接続はリモートの脅威が問題であることを意味します
- ローカルネットワーク接続は、ネットワーク内の脅威(またはネットワークへのアクセスを取得したリモートの脅威)が問題であることを意味します
- マシンへのローカルな物理的アクセスは、マシンと対話できる誰でも問題になる可能性があることを意味します
影響:
- ネットワーク接続とは、マシンを使用して残りのネットワークを攻撃できることを意味します。
- すべてのアクセスは、マシン上の機密データが危険にさらされていることを意味します(製造設計などの機密データが存在する場合)
- すべてのアクセスは、構成またはマシン設定が悪意を持って(そして危険に)変更される可能性があることを意味します
緩和策:
- ネットワーク接続を削減または排除する
- 権限のない人によるマシンへの物理的アクセスを削減または排除する
あなたの特定のケース
あなたの会社のマシンのより具体的な要件を知らずに:
インターネットアクセスが必要な場合(本当に他の手段で置き換えることはできません)、ネットワークの残りの部分から可能な限り遮断し、製造元からの接続のみを受信し、接続の確立をブロックする必要があります。でる。新しいネットワークを設計するために、境界と内部ファイアウォールがここで機能します。また、マシンで発生する異常を監視して回復できるようにする必要もあります。
私が同様の状況で行ったことは、マシンを仮想マシン(VM)に変え、VMツールを使用してスナップショット、元に戻すなどを行い、ハイパーバイザーを使用してアクセス、ネットワーク、ただし、マシンの仮想化は常に可能であるとは限りません。
考えられる脅威について考えます。攻撃者はどのようにしてシステムにアクセスできますか?
- 攻撃者はインターネット接続を監視し、更新をブロックしたり、偽の更新を挿入したりする可能性があります。
=>変更された(悪意のある)更新から保護するために、更新に暗号で署名することができます。 - ネットワーク内のコンピュータが感染し、XPマシンに感染する可能性があります。
=>ローカルネットワークから切断するか、アップデートサーバーとのみ通信できるようにシステムをファイアウォールで切断してください。 - 従業員はブラウザを使用してすばやく何かを調べても、害はありません。
=>ファイアウォール(更新サーバー以外のすべてへの接続をブロックする)が不可能な場合でも、ブラウザなどをアンインストール(またはアクセス不能)し、ユーザーがアクセスできないようにすることで、ドライブバイマルウェアを防ぐことができます。そのようなものをインストールします。 - 等。
ここでは2層ソリューションを使用できます
- 境界ファイアウォールをインストールし、更新に必要のないすべてのプロトコルをカットします(SMBなどのゼロデイ脆弱性に注意してくださいXPなどの脆弱性)) 、ファイアウォールは少なくともディープパケットインスペクションに対応している必要があります。ファイアウォールウイルス対策ソフトウェアをインストールします(安全な場所にダウンロードし、スキャンしてからエンドコンピュータ用にリリースします)。
- 更新のためのステージング領域として最新の十分に防御されたシステムを展開します。最初にパッチをそのマシンにダウンロードし、スキャンした後、XPマシンに配布します。
更新のベンダーに連絡し、トラフィックのみを正常に検証/許可するには、使用するport\protocol\file extension\signatureなどの情報を収集する必要があります。
ほら、あなたは行ってもいいです。