作為一個大型軟件企業(yè)，當微軟自身認為有必要努力阻止用戶使用其某款產(chǎn)品時ksnip(屏幕截圖工具)，這種使用習(xí)慣的危害和其中蘊含的安全風險自然是很嚴重的。到了不妥協(xié)的地步。

在正式討論軟件升級這個問題之前，我們先來看一個例子：微軟去年推出了一個單獨的網(wǎng)站，旨在號召用戶徹底停止使用IE 6，推出了十多個多年前（2001年）推出了“祖父”瀏覽器產(chǎn)品。該網(wǎng)站的口號是“真正的朋友不會坐視你繼續(xù)使用 IE6”，并竭盡全力鼓勵用戶切換到更新、更現(xiàn)代和更安全的瀏覽器版本。

這項努力的成果仍然有限：直到今天，超過 6% 的互聯(lián)網(wǎng)用戶（在中國高達 22%）繼續(xù)通過 IE6 訪問互聯(lián)網(wǎng)。并且瀏覽器已經(jīng)被嘲笑為“服務(wù)中最不安全的解決方案”（甚至六年前的尖刻評估）。

在企業(yè)方面，情況更加慘淡。根據(jù)研究公司 2009 年組織的一項調(diào)查，60% 的企業(yè)仍在使用 IE 6 瀏覽器。

作為一個大型軟件企業(yè)使用破解版adobe軟件的風險，當微軟自身認為有必要努力阻止用戶使用其某款產(chǎn)品時，這種使用習(xí)慣的危害和其中蘊含的安全風險自然是很嚴重的。到了不妥協(xié)的地步。

IE 6 的真實體驗只是一個縮影和一些所謂的“舊軟件”——或遺留軟件——整體的一部分。為什么用戶和企業(yè)更喜歡舊的軟件并長期堅持使用？為什么使用舊的 軟件 會使自己面臨越來越多的安全威脅？我們可以做些什么來減輕這些風險？ ? （我們將在下一節(jié)中更詳細地討論這些主題，但在此之前，請確保您沒有在 IE6 中閱讀這篇文章 :)

難以消除的遺留物軟件

盡管技術(shù)市場的周期時間很短，產(chǎn)品變化很快，但一些 軟件 似乎擁有可怕的生命力，這讓我們很難在他們的生命終結(jié)之后過活。從用戶的設(shè)備上完全擦除它們?？偟膩碚f，軟件剩余生命力持續(xù)存在的原因包括以下幾個方面：

前期投資。用戶已經(jīng)為產(chǎn)品支付了一筆費用，自然希望盡可能延長產(chǎn)品的使用壽命，降低使用成本。

培訓(xùn)費用。在企業(yè)員工已經(jīng)花費時間和精力（以及其他潛在資本）來學(xué)習(xí)產(chǎn)品使用的前提下，人們很難主動對需要重新掌握的新事物產(chǎn)生興趣。

依賴技術(shù)支持。 軟件 往往與遺留系統(tǒng)配合良好，而一旦軟件 升級，舊系統(tǒng)往往會帶來額外的拖累，公司總是可以延遲系統(tǒng)更新。比如最新的 Adob??e Pro CS6 需要在 64 位版本的系統(tǒng)下運行，所以還在使用 32 位系統(tǒng)的公司自然會傾向于繼續(xù)使用老版本的 Pro，因為他們不想更新整個為此目的的平臺。即興發(fā)揮。

高度依賴舊產(chǎn)品。企業(yè)用戶很可能已經(jīng)圍繞遺留軟件建立了完整的業(yè)務(wù)運行機制。一旦放棄原有架構(gòu)，重新建立內(nèi)部軟件定制組合，不僅會給企業(yè)帶來未知的新風險，也會給企業(yè)帶來新的風險。這將對業(yè)務(wù)產(chǎn)生巨大的負面影響。 IE 6 就是一個很好的例子：許多公司都有自定義的 ，其中最新版本的瀏覽器并不吸引人，但像 IE 6 這樣的古董卻方便、快速且根深蒂固。

當然，這些項目遠遠不足以彌補軟件的負面影響，我們首先要認識到，使用軟件本身肯定是一個錯誤。作為企業(yè)用戶，最值得深思的就是中隱藏的安全漏洞軟件。

風險大于收益

繼續(xù)使用 軟件 可以節(jié)省時間和金錢，這表面上是一種企業(yè)利益，但這是一種幻想。一個早已被解決的安全漏洞可能仍然潛伏在遺留軟件中，給業(yè)務(wù)帶來災(zāi)難性后果，如果發(fā)生這種情況，時間和資金投入肯定遠遠超過維護最新版本軟件 例如，社?？ê托庞每ㄐ畔⑿孤妒录斐傻钠骄鶕p失超過700萬美元。我相信沒有一家公司希望這種情況發(fā)生在自己身上。

軟件沒有完美的產(chǎn)品草地花紋筆刷下載，即使是最新的技術(shù)也不能完全避免安全風險。事實上，這有時甚至是保持 軟件 存在的一個強有力的理由——新產(chǎn)品可能包含更多未知和未被發(fā)現(xiàn)的安全問題，因此它們相對成熟和完整，舊版本更可靠。這聽起來似乎有道理，但如果沒有持續(xù)更新，舊版軟件 中的問題會隨著時間的推移變得更糟。

讓我們談?wù)勥z留軟件產(chǎn)品中一些最令人擔憂的風險：

缺乏供應(yīng)商的支持。要始終為產(chǎn)品提供良好的更新服務(wù)，供應(yīng)商必須堅持花錢維修。任何產(chǎn)品到了生命周期的盡頭，必然會失去供應(yīng)商的支持，自身的很多安全漏洞也沒有得到有效修復(fù)。我們完全理解供應(yīng)商傾向于將資源集中在開發(fā)更多新版本上軟件，作為一個企業(yè)，推廣新產(chǎn)品總是比維護舊產(chǎn)品更重要。

對安全威脅的預(yù)期不足。顧名思義，軟件誕生于與當今時代相比，在前瞻性安全威脅中必然相形見絀的時代。大部分技術(shù)都是由致力于闖入系統(tǒng)的黑客帶來的，而安全專家為此制定的保護策略也一直與時俱進——也就是說，更多的老產(chǎn)品被嵌入到安全系統(tǒng)中。思維。隨著時間的推移?？梢钥隙ǖ卣f，軟件 中的安全機制遠不如今天的技術(shù)。十年后，軟件在構(gòu)思上肯定會比現(xiàn)在更好，從今天的高度回首十年前的老產(chǎn)品，也會有一種“不行”的感覺吃吧”。

代碼重用。大多數(shù)軟件 產(chǎn)品從舊版本系列或其他產(chǎn)品中借用了一些代碼，這意味著舊版軟件 甚至可能包含一些比它們自身更早的安全威脅。

眾所周知的安全漏洞。一旦我們發(fā)現(xiàn)軟件中的安全漏洞，就會立即發(fā)布，以警示業(yè)界，以便專家找到合適的方法來修補或通過補丁修復(fù)它們。但這個過程也暴露給了黑客，他們可以從攻擊經(jīng)驗中學(xué)習(xí)更多，掌握多年來的各種主流安全漏洞?？梢哉f，黑客對遺留軟件中的安全問題進行了多年的研究、摸索和實踐，而這段時間讓過時的產(chǎn)品在他們面前簡直是易受攻擊。

補丁更新滯后。與之前的威脅相對應(yīng)的是，很多企業(yè)往往在廠商發(fā)布安全補丁后并沒有主動部署。這使得遺留產(chǎn)品在延遲期間面臨嚴重的安全風險，延遲時間越長，惡意人員越了解和熟悉這些安全漏洞，企業(yè)就越有可能面臨嚴重的安全風險。經(jīng)濟損失。

越來越復(fù)雜的黑客工具。當新產(chǎn)品出現(xiàn)安全漏洞時，通常只有最精明和技術(shù)最熟練的頂級黑客才能成功利用它并實施攻擊。但隨著時間的推移，黑客工具包會不斷吸納最新最有效的小東西，而這種改進甚至?xí)尭鄤側(cè)腴T的人嘗到惡意入侵的甜頭。目前廣為流傳的主流黑客工具包已經(jīng)很蠢了。他們甚至提供用戶友好的界面和在線教程指導(dǎo)。也許幾年后，任何使用辦公室軟件的人都會學(xué)會如何玩黑客。

依賴不安全的系統(tǒng)平臺。在某些情況下，遺留產(chǎn)品只能在特定的遺留系統(tǒng)環(huán)境中運行。以 Pro 2006 為例，它無法支持 Vista 及以后的系統(tǒng)版本。也就是說，即使 軟件 本身不構(gòu)成任何安全威脅，但它們所需的系統(tǒng)環(huán)境仍可能造成重大麻煩。例如使用破解版adobe軟件的風險，在微軟決定停止提供安全補丁后，僅在 XP 平臺上運行的舊版 軟件 使我們的業(yè)務(wù)面臨風險。

當然，并非所有舊版軟件 都存在相同級別的嚴重安全問題。我想在這里提醒您，面向 Web 的應(yīng)用程序通常是最難處理的威脅來源，因為它們允許異地訪問或遠程控制。盡可能不要在這些區(qū)域使用舊版 軟件。

防御策略

首先讓我們明確一點：更新始終是我們對抗遺留軟件安全風險的最佳選擇。雖然沒有產(chǎn)品敢斷言自己沒有任何安全漏洞，但新產(chǎn)品所蘊含的安全理念和防護理念，絕對比老產(chǎn)品要好。也就是我們只要及時選擇新產(chǎn)品或者及時安裝新補丁花邊筆刷下載2，在一定時期內(nèi)我們是相對安全的。當黑客發(fā)現(xiàn)新版本的弱點時，就會有新的補丁繼續(xù)保護我們的業(yè)務(wù)。

但有時保持最新并不容易。業(yè)務(wù)預(yù)算或軟件供應(yīng)商根本不提供新補丁可能會將我們暴露給惡意行為者。當這種情況發(fā)生時，我們的傳統(tǒng)軟件不可避免地要應(yīng)對網(wǎng)絡(luò)環(huán)境，以下策略應(yīng)該有助于降低安全風險：

使用虛擬化技術(shù)進行隔離。虛擬化提供了無數(shù)偉大的用途，其中最重要的是為高風險平臺創(chuàng)建沙箱環(huán)境，以將它們與關(guān)鍵系統(tǒng)隔離開來。例如，您可以利用像 這樣的免費 軟件 為遺留應(yīng)用程序提供 95 或 XP 系統(tǒng)環(huán)境，同時保持現(xiàn)有現(xiàn)代系統(tǒng)的安全。更難能可貴的是，虛擬系統(tǒng)可以完全切斷內(nèi)部網(wǎng)絡(luò)與外部環(huán)境的聯(lián)系，從而打造出堅實的企業(yè)防御體系。

虛擬補丁。有時，遺留產(chǎn)品沒有可用的補丁可以直接用于修復(fù)或解決安全漏洞，但我們通常能夠通過所謂的“虛擬補丁”解決高風險應(yīng)用程序中的某些已知漏洞。例如，遺留數(shù)據(jù)庫產(chǎn)品容易受到 SQL 注入攻擊——也就是說，當向數(shù)據(jù)庫發(fā)送查詢請求時，攻擊者可以通過小技巧偷偷修改或竊取受保護的數(shù)據(jù)。虛擬修補涉及檢查數(shù)據(jù)包是否符合防火墻或制定有針對性的 Web 服務(wù)器規(guī)則以有效地查找和檢測 SQL 注入語法，最終允許在這些惡意請求到達易受攻擊的舊產(chǎn)品之前被阻止。