2024年9月30日

为什么保持旧系统安全性至关重要

遗留系统为保险公司存储重要信息，但它们也可能带来安全风险。遗留系统越旧，它跟上新技术发展的能力就越差，从而容易受到数字威胁。较旧的旧系统也不太可能提供原始开发人员或文档以供参考。

Heimdal Security 的通信和公关官 Miriam Cihodariu 说，遗留系统是指那些不再受开发人员支持或无法满足当前合规性标准的系统。它们可以是专为内部使用而设计的操作系统或平台，也可以是面向客户的软件。

保险公司不必完全丢弃其遗留系统。但是，保险公司确实需要确保他们遵守适用的法规，并通过专用的遗留系统安全性保护客户和公司免受风险。

为什么保险公司需要解决遗留系统安全问题

网络犯罪是一门大生意。 Cybersecurity Ventures 创始人史蒂夫·摩根（Steve Morgan）表示，2015 年，黑客攻击和类似行为给全球经济造成了 3 万亿美元的损失，预计到 2021 年每年将高达 6 万亿美元。马里兰大学副教授 Michel Cukier 的一项研究估计，黑客平均每 39 秒就会攻击世界上某个地方的计算机系统。

旧系统具有过时或不合规的设置，为那些希望窃取保险公司数据或造成数字恶作剧的人提供了更轻松的访问。

为什么组织喜欢他们的遗留系统？

遗留系统在全球企业和其他组织中普遍使用。通常，组织继续使用过时的软件，因为这些软件是关键系统或信息的生命支持。

例如，当 Microsoft 在 2014 年宣布不再支持 Windows XP 时，美国国防部在五角大楼过渡到 Windows 10 时伸出援手寻求支持。据科技记者 Jeremy Hsu 称，2014 年全球大约 30% 的计算机仍在运行 Windows XP，包括一些关键的美国军事系统。

组织还可以选择继续使用旧系统，以最大限度地提高他们在软件及其维护方面的投资价值。 “在投资基础设施时，组织这样做是为了期望从产品中获得一定的持续时间。这个生命周期成为多年摊销预算和商业计划的一部分，除非绝对必要，否则财务官员不愿偏离这些计划，“信息安全研究员兼 Venkon.us 创始人 Jaime Manteiga 说。

最后，遗留系统可以得到维护，因为它们是定制的软件，可以完全满足业务需求，Manteiga 补充道。更换这些定制系统可能既昂贵又困难。

然而，遗留系统很常见、有价值或不可或缺的事实并不意味着它没有风险。通常，保险公司发现自己使用的遗留系统会带来重大的安全风险，因为没有更好的选择。例如，一个主要平台可能没有功能替代品，或者一个软件可以运行但不遵守最新的安全法律或法规。在这些情况下，必须注意遗留系统的安全性。

一个轻松的。

很容易看出遗留系统上过时的安全性会如何危及该系统中存储的信息。但是，这些系统也会对保险公司网络上的所有其他系统构成风险。

例如，假设一家保险公司的信息系统包含一台服务器，该服务器具有 15 年前的操作系统，其中包含一个已知漏洞。如果不加以解决，该漏洞就会成为未经授权访问的大门。

“如果攻击者获得了这台未打补丁的机器的访问权限（这比入侵一台打补丁良好的现代服务器要容易得多），他们就可以横向深入网络，”数据中心和云安全公司 Guardicore 的产品副总裁 Lior Neudorfer 解释说。

这个例子并不完全是虚构的。 2019 年 5 月，Microsoft 发布了适用于 Windows XP 和 Windows Server 2003 的补丁。 Guardicore 的 Daniel Goldberg 和 Ophir Harpaz 写道，虽然这两个操作系统都接近其 20 岁生日，但它们仍作为许多组织 IT 系统的一部分运行。

黑客已经在网络上寻找最不安全的节点以获得访问权限。在一个著名的例子中，黑客使用智能鱼缸传感器访问拉斯维加斯赌场的网络，最终破坏了赌场顾客信息的数据库——赌场曾认为这些数据是安全的。

“有人使用鱼缸进入网络，一旦他们进入鱼缸，他们就会扫描并发现其他漏洞，然后横向移动到网络中的其他位置，”网络 AI 公司 Darktrace 的网络情报和分析总监 Justin Fier 说。

与鱼缸一样，遗留系统可能代表保险公司网络中最薄弱的部分，使整个 IT 基础设施容易受到攻击。

传统系统上的数据安全挑战

遗留系统经常成为数据安全挑战的核心。 “传统 IT 系统通常是网络泄露事件的核心，而且由于通常无法停用，因此信息安全专业人员需要管理风险，”联合利华副总裁兼全球首席信息安全官 Bobby Ford 说。

遗留系统给 IT 团队带来了许多挑战。例如，新的软件更新（包括安全补丁）更难应用于旧系统。遗留系统也可能缺乏其现有安全控制的足够文档。卡内基梅隆大学软件工程研究所的高级工程师 Susan Crozier Cox 写道，如果没有这些文档，IT 团队将更难添加防火墙、加密单元、恶意软件检测器和其他安全工具。

此外，IT 团队在尝试保持旧系统安全时面临更大的压力。该团队不仅需要及时了解不断变化的安全风险和工具，还必须确保在遗留系统（可能没有足够文档的同一系统）的上下文中正确理解和调整这些风险和工具。

所有这些挑战都会使旧系统的维护和安全变得令人生畏。与此同时，切换到全新系统的财务和不便成本似乎同样令人生畏。

旧版系统安全更新的最佳实践

遗留系统通常在财产保险公司的日常业务中起着关键作用。遵循更新和保留遗留系统安全性的最佳实践可以帮助保险公司确保他们可以安全地使用遗留系统数据。

团队合作。

遗留系统安全需要经验丰富的 IT 安全专业人员的帮助，但项目不能只掌握在他们手中。相反，安全专业人员和业务专业人员必须共同努力。

“安全专业人员的作用是评估网络攻击的可能性和潜在影响，而企业 [professionals] 的作用是确定哪些系统和流程最关键，”Ford 解释说。

扩展您的安全范围。

许多保险公司正在寻求建立商业生态系统，与其他公司合作，将保险公司置于他们需要的地方，以便在客户人生旅程的每个阶段提供帮助。

许多技术支持生态系统的创建，例如使用应用程序处理接口（API）来连接软件和系统，以改进数据传输和共享。然而，当遗留系统包含在 API 驱动的生态系统中时，这个过程会变得更加复杂，尤其是在缺乏保护遗留技术的指导方针时，Mphasis 银行和资本市场解决方案主管 Shuvo G. Roy 写道。

遗留系统不需要阻止保险公司构建可行的生态系统。然而，保险公司及其生态系统合作伙伴将受益于考虑遗留系统进入等式时出现的额外安全挑战。

拥抱效率。

升级到新平台的成本似乎让人不知所措。但是，它们可能比继续按照过时的遗留系统进行护理的成本要低得多。

例如，GAO 的一份报告估计，联邦政府 900 亿美元的 IT 预算中约有 80% 用于运营和维护旧系统，包括在某些情况下可能已有 50 多年历史的遗留系统。随着时间的推移，遗留系统会消耗任何组织预算的一部分，而这些预算本可以更好地用于升级新技术。面对升级的成本，一些公司转向固件补丁来对旧系统进行现代化改造。虽然补丁在某些情况下可能有效，但随着时间的推移，这种做法通常比升级的成本更高，Vertiv 的 David Dedinsky 和 Ricardo Duque 说。

他们写道：“系统没有得到优化，这导致了令人震惊的低利用率和低效的僵尸服务器”。固件补丁可以帮助旧系统缓慢运行，但不能解决使旧系统成为持续投资的糟糕选择的根本问题。

In2IT 银行和保险区域销售经理 Kumar Utpal 表示，环绕系统等选项可以帮助保险公司提高效率，并在客户进行安全措施和升级时继续为客户提供服务。当安全放在首位时，保险公司可以找到使用现有投资的方法，同时逐步采用最新技术。

图片来源：everythingpossible/©123RF.com， Konstantin Pelikh/©123RF.com， Evgeniy Shkolenko/©123RF.com

新闻