丢失和被遗忘的：您的旧嵌入式设备是否使用了最新操作系统？

我们每天都会使用嵌入式系统，例如当您从提款机中取现金时，从自动售货机中购买零食时，从自助售票机购买火车票时，甚至在查看电子指示牌时。事实上，很难想象我们的日常生活中没有这些以及许可其他嵌入系统会怎样。但是，在确保安全保护是最新的时，这些设备经常被忽视。

通过一个简单的例子就可以说明这种潜在问题正在加剧。微软计划在2020年1月14日停止对Windows7、Windows2008和WindowsMobile的支持。这意味着微软将不会再为这些系统发布更新和安全补丁。研究发现，在被检查的150万台嵌入式医疗设备中，有71%仍然在运行这些版本的Windows。相比之下，运行这些操作系统（OS）的桌面计算机（根据互联网使用统计）份额不足30%。

此外，有些嵌入式设备仍然运行在WindowsXP上，而微软多年前就停止了支持使用这些操作系统的设备，并且在2016年1月12日停止了对WindowsEmbedded的主流支持，在2016年4月12日结束了对WindowsEmbedded for Point of Service支持。尽管没有统计数据显示Windows XP在商业中的使用有多广泛，但技术爱好者们偶然发现仍然有很多设备在使用这种古老的操作系统，例如在药店的自助终端上、杂货店的收银台以及互动式广告牌上。

为什么企业会“忘记”更新嵌入设备？

说企业不注意嵌入系统的安全，就有点夸张了。例如， ATM和销售点（POS）系统需要处理支付卡，因此需要符合PCI DSS，而这一标准需要采用严格的安全措施。

但是，嵌入系统的使用不仅限于ATM和POS设备，这些设备的其他系统的安全性有时候可能会比较落后。根据我们的经验，当系统与钱或合规风险无关时，其安全性往往被忽略。简单来说，交互式信息亭、虚拟排队的售票机、酒店登记台和数字标牌可能很少甚至没有最新的保护。

造成这一现象的另一个原因是升级这些设备存在挑战。较旧的嵌入式系统通常用于低端硬件，其性能有限，因此只能顺利地执行它们所针对的专用功能。但是，如果企业为其安装了现代操作系统，这些设备可能将无法工作。例如，一项实验显示，在 XP 时代组装的计算机上安装Windows 10的话，打开一个文件夹需要41秒。还值得一提的是，有些嵌入式系统无法升级到最新的操作系统，所以这些设备应该被清除，安装上Windows10.

另一方面，定制或量身打造的软件也让企业无法放弃古老的操作系统。通常，供应商不会为不受支持的系统发布其现成产品的新版本，这是用户迁移的驱动因素。 但是，为特定公司开发的软件通常只与某个过时的系统兼容。 从Windows XP迁移尤其如此。

由于这些原因，企业可能会忽略这些嵌入式设备，一方面感到内疚，或者选择在设备正常工作的前提下，不进行更新。

如何管理和保护古老的操作系统

很明显，运行过时的系统存在安全风险：这样的系统没有更新，容易遭受当今威胁的侵害，如果未修复已知的漏洞，黑客还会继续利用这些漏洞进行攻击。例如，卡巴斯基专家就发现针对2010年的Windows零日漏洞的漏洞利用程序，尽管这些修复这些漏洞的补丁在当年就发布了。六年以后，威胁组织仍然广泛地利用这种漏洞，占当年用户遭遇的漏洞利用程序的25%。如果被遗忘，嵌入系统可能成为针对性攻击的切入点。

但是，主要由于兼容性问题，在嵌入式设备上安装最新版本的操作系统比在端点执行相同操作更耗时且更昂贵。

放任嵌入系统不管不是正确的做法。我们推荐采取以下措施：

1.清点整个 IT 基础架构的嵌入式设备，以确保您拥有最新的设备列表，并了解网络上的所有设备

2.判断哪些系统已经过时或操作系统版本已经停止了供应商支持

3.找到最具资源效率的策略来更新所有设备。对有些设备来说，最好的办法也许不是升级操作系统，而是在计划的更换周期内更换设备。在这种情况下，必须使用专门用于保护嵌入式设备的安全解决方案