30 9 月 2024

為什麼保持舊系統安全性至關重要

遺留系統為保險公司存儲重要資訊，但它們也可能帶來安全風險。遺留系統越舊，它跟上新技術發展的能力就越差，從而容易受到數字威脅。較舊的舊系統也不太可能提供原始開發人員或文檔以供參考。

Heimdal Security 的通信和公關官 Miriam Cihodariu 說，遺留系統是指那些不再受開發人員支援或無法滿足當前合規性標準的系統。它們可以是專為內部使用而設計的操作系統或平臺，也可以是面向客戶的軟體。

保險公司不必完全丟棄其遺留系統。但是，保險公司確實需要確保他們遵守適用的法規，並通過專用的遺留系統安全性保護客戶和公司免受風險。

為什麼保險公司需要解決遺留系統安全問題

網路犯罪是一門大生意。 Cybersecurity Ventures 創始人史蒂夫·摩根（Steve Morgan）表示，2015 年，駭客攻擊和類似行為給全球經濟造成了 3 萬億美元的損失，預計到 2021 年每年將高達 6 萬億美元。馬里蘭大學副教授 Michel Cukier 的一項研究估計，駭客平均每39秒就會攻擊世界上某個地方的電腦系統。

舊系統具有過時或不合規的設置，為那些希望竊取保險公司數據或造成數位惡作劇的人提供了更輕鬆的訪問。

為什麼組織喜歡他們的遺留系統？

遺留系統在全球企業和其他組織中普遍使用。通常，組織繼續使用過時的軟體，因為這些軟體是關鍵系統或資訊的生命支援。

例如，當 Microsoft 在 2014 年宣佈不再支援 Windows XP 時，美國國防部在五角大樓過渡到 Windows 10 時伸出援手尋求支援。據科技記者 Jeremy Hsu 稱，2014 年全球大約 30% 的計算機仍在運行 Windows XP，包括一些關鍵的美國軍事系統。

組織還可以選擇繼續使用舊系統，以最大限度地提高他們在軟體及其維護方面的投資價值。 “在投資基礎設施時，組織這樣做是為了期望從產品中獲得一定的持續時間。這個生命周期成為多年攤銷預算和商業計劃的一部分，除非絕對必要，否則財務官員不願偏離這些計劃，「資訊安全研究員兼 Venkon.us 創始人 Jaime Manteiga 說。

最後，遺留系統可以得到維護，因為它們是定製的軟體，可以完全滿足業務需求，Manteiga 補充道。更換這些定製系統可能既昂貴又困難。

然而，遺留系統很常見、有價值或不可或缺的事實並不意味著它沒有風險。通常，保險公司發現自己使用的遺留系統會帶來重大的安全風險，因為沒有更好的選擇。例如，一個主要平臺可能沒有功能替代品，或者一個軟體可以運行但不遵守最新的安全法律或法規。在這些情況下，必須注意遺留系統的安全性。

一個輕鬆的。

很容易看出遺留系統上過時的安全性會如何危及該系統中存儲的資訊。但是，這些系統也會對保險公司網路上的所有其他系統構成風險。

例如，假設一家保險公司的信息系統包含一台伺服器，該伺服器具有15年前的作業系統，其中包含一個已知漏洞。如果不加以解決，該漏洞就會成為未經授權訪問的大門。

“如果攻擊者獲得了這台未打補丁的機器的訪問許可權（這比入侵一台打補丁良好的現代伺服器要容易得多），他們就可以橫向深入網络，”數據中心和雲安全公司 Guardicore 的產品副總裁 Lior Neudorfer 解釋說。

這個例子並不完全是虛構的。 2019 年 5 月，Microsoft 發佈了適用於 Windows XP 和 Windows Server 2003 的補丁。 Guardicore 的 Daniel Goldberg 和 Ophir Harpaz 寫道，雖然這兩個操作系統都接近其 20 歲生日，但它們仍作為許多組織 IT 系統的一部分運行。

駭客已經在網路上尋找最不安全的節點以獲得訪問許可權。在一個著名的例子中，駭客使用智慧魚缸感測器訪問拉斯維加斯賭場的網路，最終破壞了賭場顧客信息的資料庫——賭場曾認為這些數據是安全的。

有人使用魚缸進入網路，一旦他們進入魚缸，他們就會掃描並發現其他漏洞，然後橫向移動到網路中的其他位置，“網络 AI 公司 Darktrace 的網路情報和分析總監 Justin Fier 說。

與魚缸一樣，遺留系統可能代表保險公司網路中最薄弱的部分，使整個IT基礎設施容易受到攻擊。

傳統系統上的數據安全挑戰

遺留系統經常成為數據安全挑戰的核心。 “傳統 IT 系統通常是網络洩露事件的核心，而且由於通常無法停用，因此資訊安全專業人員需要管理風險，”聯合利華副總裁兼全球首席資訊安全官 Bobby Ford 說。

遺留系統給IT團隊帶來了許多挑戰。例如，新的軟體更新（包括安全補丁）更難應用於舊系統。遺留系統也可能缺乏其現有安全控制的足夠文檔。卡內基梅隆大學軟體工程研究所的高級工程師 Susan Crozier Cox 寫道，如果沒有這些文檔，IT 團隊將更難添加防火牆、加密單元、惡意軟體檢測器和其他安全工具。

此外，IT 團隊在嘗試保持舊系統安全時面臨更大的壓力。該團隊不僅需要及時瞭解不斷變化的安全風險和工具，還必須確保在遺留系統（可能沒有足夠文檔的同一系統）的上下文中正確理解和調整這些風險和工具。

所有這些挑戰都會使舊系統的維護和安全變得令人生畏。與此同時，切換到全新系統的財務和不便成本似乎同樣令人生畏。

舊版系統安全更新的最佳實踐

遺留系統通常在財產保險公司的日常業務中起著關鍵作用。遵循更新和保留遺留系統安全性的最佳實踐可以幫助保險公司確保他們可以安全地使用遺留系統數據。

團隊合作。

遺留系統安全需要經驗豐富的IT安全專業人員的説明，但專案不能只掌握在他們手中。相反，安全專業人員和業務專業人員必須共同努力。

“安全專業人員的作用是評估網路攻擊的可能性和潛在影響，而企業 [professionals] 的作用是確定哪些系統和流程最關鍵，”Ford 解釋說。

擴展您的安全範圍。

許多保險公司正在尋求建立商業生態系統，與其他公司合作，將保險公司置於他們需要的地方，以便在客戶人生旅程的每個階段提供説明。

許多技術支援生態系統的創建，例如使用應用程式處理介面（API）來連接軟體和系統，以改進資料傳輸和共用。然而，當遺留系統包含在 API 驅動的生態系統中時，這個過程會變得更加複雜，尤其是在缺乏保護遺留技術的指導方針時，Mphasis 銀行和資本市場解決方案主管 Shuvo G. Roy 寫道。

遺留系統不需要阻止保險公司構建可行的生態系統。然而，保險公司及其生態系統合作夥伴將受益於考慮遺留系統進入等式時出現的額外安全挑戰。

擁抱效率。

升級到新平臺的成本似乎讓人不知所措。但是，它們可能比繼續按照過時的遺留系統進行護理的成本要低得多。

例如，GAO 的一份報告估計，聯邦政府 900 億美元的 IT 預算中約有 80% 用於運營和維護舊系統，包括在某些情況下可能已有 50 多年歷史的遺留系統。隨著時間的推移，遺留系統會消耗任何組織預算的一部分，而這些預算本可以更好地用於升級新技術。面對升級的成本，一些公司轉向固件補丁來對舊系統進行現代化改造。雖然補丁在某些情況下可能有效，但隨著時間的推移，這種做法通常比升級的成本更高，Vertiv 的 David Dedinsky 和 Ricardo Duque 說。

他們寫道：「系統沒有得到優化，這導致了令人震驚的低利用率和低效的殭屍伺服器」。。固件補丁可以説明舊系統緩慢運行，但不能解決使舊系統成為持續投資的糟糕選擇的根本問題。

In2IT 銀行和保險區域銷售經理 Kumar Utpal 表示，環繞系統等選項可以幫助保險公司提高效率，並在客戶進行安全措施和升級時繼續為客戶提供服務。當安全放在首位時，保險公司可以找到使用現有投資的方法，同時逐步採用最新技術。

圖片來源：everythingpossible/©123RF.com， Konstantin Pelikh/©123RF.com， Evgeniy Shkolenko/©123RF.com

新聞