czy z punktu widzenia bezpieczeństwa konieczne jest zastąpienie tych komputerów XP-PC nowymi komputerami PC?
Nie, wymiana komputerów nie jest konieczna. Ale to jest konieczne w celu modernizacji tych systemów operacyjnych (ta może również obejmować zastąpienie tych komputerów - nie wiemy, ale jeśli są one uruchomione specjalistycznego sprzętu, to może być możliwe, aby utrzymać komputer.).
Jest tak wiele prawdziwych historii o zainfekowanych komputerach, które rzekomo mają „szczelinę powietrzną”. Może się to zdarzyć niezależnie od systemu operacyjnego, ale posiadanie bardzo starego, nieaktualnego systemu operacyjnego jeszcze bardziej zwiększa ryzyko.
Zwłaszcza, że wygląda na to, że twoje komputery są chronione przez ograniczenie oprogramowania blokujące dostęp do Internetu. Jest to prawdopodobnie łatwe do ominięcia. (zastrzeżenie: nigdy nie słyszałem o tej kontroli dostępu do sieci Panda, ale z pewnością wygląda jak oprogramowanie na hoście).
Problemem, z którym najprawdopodobniej będziesz musiał się zmierzyć, jest brak współpracy z dostawcą. Możliwe jest, że dostawcy odmówią pomocy, chcą pobrać 100 000 USD za aktualizację lub bankrutują i IP zostaje odrzucone.
W takim przypadku firma musi przeznaczyć na to budżet.
Jeśli naprawdę nie ma innej opcji, jak tylko utrzymać 16-letni system operacyjny w stanie niezałatowanym (być może jest to tokarka CNC lub frezarka za milion dolarów lub MRI), musisz wykonać poważną izolację hosta opartą na sprzęcie. Dobrym początkiem byłoby umieszczenie tych maszyn we własnym vlan z wyjątkowo restrykcyjnymi regułami zapory.
Wydaje się, że w tym względzie potrzebujesz trzymania się za ręce, więc jak to wygląda:
Windows XP to 16-letni system operacyjny. Szesnaście lat . Niech to zatoną. Pomyślałem dwa razy, zanim kupiłem szesnastoletni samochód, a oni nadal produkują części zamienne do 16-letnich samochodów. W systemie Windows XP nie ma „części zamiennych”.
Po dźwiękach masz słabą izolację hosta. Powiedzmy, że coś już dostaje się do Twojej sieci. W inny sposób. Ktoś podłącza zainfekowaną pamięć USB. Będzie skanować wewnętrzną sieć i rozprzestrzeniać się na wszystko, co ma lukę, którą może wykorzystać. Brak dostępu do Internetu nie ma tu znaczenia, ponieważ rozmowa telefoniczna przychodzi z domu
- Ten produkt zabezpieczający Panda wygląda na ograniczenia oparte na oprogramowaniu. Oprogramowanie można ominąć, czasem łatwo. Założę się, że przyzwoite szkodliwe oprogramowanie nadal mogłoby dostać się do Internetu, jeśli jedyną rzeczą, która go powstrzymuje, jest oprogramowanie działające na szczycie stosu sieciowego. Może po prostu uzyskać uprawnienia administratora i zatrzymać oprogramowanie lub usługę. Więc tak naprawdę wcale nie mają dostępu do Internetu. Powraca to do izolacji hosta - przy odpowiedniej izolacji hosta możesz faktycznie usunąć je z Internetu i być może ograniczyć szkody, jakie mogą wyrządzić twojej sieci.
Szczerze mówiąc jednak, nie należy trzeba uzasadnić zastąpienie tych komputerów i / lub systemu operacyjnego. Będą one w pełni amortyzowane dla celów księgowych, prawdopodobnie minęły już wszelkie okresy gwarancji lub wsparcia ze strony dostawcy sprzętu, zdecydowanie minęły jakiekolwiek wsparcie ze strony Microsoft (nawet jeśli machasz tytanową kartą American Express w twarz Microsoft, nadal nie wezmą twoich pieniędzy).
Każda firma zainteresowana zmniejszeniem ryzyka i odpowiedzialności zastąpiłaby te maszyny wiele lat temu. Nie ma usprawiedliwienia dla utrzymywania stacji roboczych w pobliżu. Wymieniłem kilka ważnych wymówek powyżej (jeśli jest całkowicie odłączony od dowolnej sieci i żyje w szafie i uruchamia muzykę z windy, mogę - MOCNO - dać mu przepustkę). Wygląda na to, że nie masz żadnej usprawiedliwionej wymówki. Zwłaszcza teraz, gdy zdajesz sobie sprawę, że one tam są i widziałeś szkody, które mogą wystąpić (zakładam, że pisałeś to w odpowiedzi na WannaCry / WannaCrypt).