内容摘要：根据一项新研究，每16个IT资产中就有一个已达到生命周期终点阶段，这可能会使企业暴露于已知但未修补的漏洞中。这一数据来源于对Sevco客户和潜在客户网络中120万个IT资产包括服务器和设备）可见性聚合

根据一项新研究，影I业基每16个IT资产中就有一个已达到生命周期终点阶段，和何威这可能会使企业暴露于已知但未修补的软件漏洞中。

这一数据来源于对Sevco客户和潜在客户网络中120万个IT资产（包括服务器和设备）可见性聚合的胁企原始数据分析。

Sevco的础设研究不仅发现6%的资产已达到生命周期终点，还发现28%的影I业基IT资产缺少至少一种关键控制——终端保护或补丁管理。

第三方专家表示，和何威过时软件和影子IT系统（未经IT部门管理和控制的软件员工使用的非授权技术）带来的问题正在增加。

在影子IT中

“暴露在互联网中的胁企非标准、未管理的础设设备的数量和可用性正成倍增长，这些设备通常由非安全意识的影I业基用户配置，”Forescout的和何威安全情报副总裁Rik Ferguson表示，“这些设备通常没有传统IT资产那么安全或可见，软件仍然特别容易受到攻击。胁企”

上个月，础设一名威胁行为者被发现试图出售对大型云安全公司Zscaler的访问权限。经过调查，Zscaler发现了一个不在其核心基础设施上的测试服务器。

2023年发生的企商汇Okta攻击被归因于未经授权的IT系统使用，企业凭证被保存到个人Google账户，然后工作笔记本电脑感染了恶意软件，这突显了影子IT如何导致未经授权的访问和潜在的数据泄露。

生命周期结束——但风险未结束

过时软件通过增加攻击面和使组织更容易受到攻击而构成重大风险。

例如，2018年针对英国航空公司的一次高调攻击中，一个过时的JavaScript版本是一个促成因素。2017年臭名昭著的WannaCry恶意软件暴露了英国医院和其他地方过时的Windows XP系统的风险。

供应商认为已达到生命周期终点（EOL）的IT资产不再受益于常规软件更新或安全补丁，除非支付额外费用以获得扩展支持。例如，当Windows 10在2025年10月达到生命周期终点后，为一台PC提供三年的扩展安全更新的基本费用将是427美元，这略低于2023年为Windows 7 PC提供补丁的490美元。尽管企业可能会获得更好的定价，但一些资金紧张的组织决定冒险也就不足为奇了。源码下载

KnowBe4的首席安全意识倡导者Javvad Malik表示：“过时软件的最大风险在于那些历史上未连接到互联网的领域。因此，像医院或关键基础设施这样的地方通常会运行过时的软件。”

ImmuniWeb的CEO Ilia Kolochenko认为，影子IT和过时软件的问题是“深度交织在一起的”。

“为了应对影子IT带来的风险，企业应该维护并持续更新所有系统、软件、用户、账户、数据以及有任何访问企业数据权限的第三方的全面清单，”ImmuniWeb的Kolochenko告诉CSOonline.com。

有时，即使是正式批准的IT系统也没有及时更新，例如那些没有足够补丁管理系统的系统，这些系统在Sevco研究中被发现。

例如，云服务器2017年Equifax数据大劫案就是因为一个未打补丁但完全可以打补丁的Apache Struts实例。

专家一致认为，企业需要进行彻底的审计和风险评估。最好的防御措施包括严格的配置管理、软件物料清单跟踪、安全意识培训以及限制可安装的内容。

“With Secure威胁情报总监Tim West表示：“了解你的攻击面并定期进行外部资产映射练习至关重要。需要注意的是，答案不仅仅是技术层面的。影子IT背后还有一个人为因素以及它发生的原因。培训并确保现有流程满足员工需求也同样重要。”

ImmuniWeb的Kolochenko补充道：“即使是经验丰富的软件开发人员，有时也会不小心在云中部署一个容器，里面有生产数据，用来实验一些新功能，最后却忘记了，更不用说那些用家用电脑或移动设备处理业务的非技术用户了。”