這種情況的麻煩（如您所報告的那樣）是，有很多假設是基於很多觀點。您有自己的意見，希望他們分享您的意見，但是他們有自己的意見。

如果要讓所有人都同意某件事，則需要找到共同點。您需要挑戰並確認每個假設，並找到可靠的數據來支持您的觀點或觀點。一旦有了共同點，就可以一起前進。

1. 您已列入白名單：太好了，這是什麼意思？有辦法解決嗎？列入白名單的應用程序可以損壞嗎？
2. 防火牆有什麼作用？如何配置？防火牆表示阻止的端口，但也表示允許的端口。那些允許的港口可以濫用嗎？
3. 沒有人可以訪問嗎？誰有權使用該設備？您是信任內部人員還是用戶的無知來確保其安全？
4. 如果有人獲得對設備的本地訪問權會發生什麼？
ol>

作為信息安全專業人員，您的工作不是用“最佳實踐”打敗別人，而是進行風險分析並設計出限制風險的方法划算在風險閾值以下。您必須採用最佳做法來證明不是合理的，但是如果該合理性是有效的，那麼它就是有效的。

如果有人告訴我他們的機器不可黑客，我應該相信他們，我會立即得出結論

• 該機器在諾克斯堡/高安全監獄條件下受到監視，有24人/ 7警衛和監控攝像機

以及以下之一：

• 機器不交換任何形式的信息（沒有USB，以太網，火線，串行，並行等）

• 機器已永久關閉。

因為您需要具有深度防禦功能的多層安全策略。您有防火牆，但是如果防火牆中存在安全漏洞，該怎麼辦？如果某個應用程序利用漏洞授予用戶級別的OS訪問權限，然後通過未修補的OS漏洞將該漏洞升級為root訪問權限，該怎麼辦？為了獲得適當的安全性，您需要修補所有個已知漏洞，而不僅僅是您認為可以在系統上利用的漏洞，因為未知漏洞和您認為不可能的已知漏洞的組合被利用可能在某些情況下無法妥協，而您也無法修補未知漏洞。

原因很簡單，安全性是分層應用的。例如，要連接到重要的數據庫，首先需要進入數據庫的網絡（通過防火牆），將自己的IP地址添加到允許連接的客戶端列表中，然後使用用戶名和密碼啟動連接。任何一層都使其他兩個冗餘。問題是“如果”。讓我們考慮一下舊Oracle的默認scott / tiger登錄，或者某個員工無意間將端口轉發到了公共Internet。防火牆可能僅阻止TCP，而服務器也偵聽UDP，或者IPv6配置錯誤，並且安全性僅適用於IP4。這就是為什麼良好的安全性會層層出現，監控嘗試並讓安全專家從嘗試的（希望失敗的）攻擊中吸取教訓，或者檢查蜜罐上的活動的原因。此外，零日漏洞利用（甚至適用於最新補丁的漏洞）在分層環境中也不太可能成功，因為攻擊者需要對每一層進行利用。

沒有設備是不可黑客攻擊的，只是它以前沒有被黑客入侵過。您的設備興趣不足和/或收益很低。零日漏洞利用可能仍然存在。

此外，某些Android設備根本無法升級到特定版本以外。知道對手擁有這樣的設備是黑客的公開邀請，因為設備名稱/品牌帶有如何黑客的確切方法。

在沒有積極支持的情況下維護設備也是危險的

安全不是必須設計來保護免受外部人員（防火牆）的侵害，但也不受內部人員的侵害。我不知道您的設備正在運行的上下文，但是鑑於您所寫的內容，它可能容易受到防火牆內部已有人員的攻擊。

沒有不可破解的系統。對於那些提到氣隙的人，有很多關於氣隙系統的實際黑客或潛在黑客的例子。 Stuxnet可能是最著名（也是最極端）的例子。其他一些包括van Eck吞嚥，聲學分析或其他旁道攻擊。

有些緩解漏洞的方法不涉及修補程序。例如，如果系統容易受到KRACK的攻擊，是否可以簡單地禁用WiFi？如果永久禁用了WiFi，則無需應用任何涉及WiFi的更新。同樣，如果系統上存在構成漏洞的特定應用程序（如Java，.NET，Flash，瀏覽器等），則可以簡單地卸載這些應用程序。如果尚未安裝Java，則無需更新。

隨著操作系統的升級，這無疑更加困難。您需要了解潛在的漏洞，然後需要緩解它們。使用受支持的操作系統的好處是（大概）已經有人在為您完成第一部分和第二部分的一半。

完全更新/升級的系統不是安全或無法破解的系統。但這確實傾向於將已知漏洞的風險降到最低。為了回應Schroeder，風險分析比“強化/鎖定”或盲目“升級”更為重要，並希望這兩種方法可以使您更加安全。

沒有系統是真正的“不可破解的”。但是，一旦我們確定係統足夠“不可破解”，就不必維護安全補丁程序的渠道。

舉一個具體的例子，我們的“不可破解”系統控制著安全攝像機。相機的工作是看固定的位置。每個設置都是恆定的，或者係統足夠智能以自行調整。系統可以流式傳輸視頻數據，不需要用戶的任何輸入。

我們可以讓系統運行ssh，以便我們可以定期登錄並應用安全補丁，但實際上打開了一個（很小）安全孔。攻擊者可能使用ssh入侵相機。 （祝您好運hack ssh）。

所以這是一個折衷。如果您誠實地認為您永遠都不需要應用安全補丁，那麼您可能會決定讓該通道保持打開狀態是不值得的。為政府而建。該系統的組件是短暫的虛擬機（通常少於一天）。每個虛擬機都是不可變的並且是一次性的。計劃是，如果他們需要應用安全補丁，那麼他們將僅以有序的方式處理機器並創建新機器。這些虛擬機沒有ssh。

政府安全審核員炸掉了墊片，並安裝了ssh，以便可以應用安全補丁。 ssh服務器沒有提供任何安全性值，實際上是一個漏洞。

但是，考慮到這一點，這個（和我的相機）示例只是通過非傳統渠道的安全性更新。

怎麼辦

1. 部署到火星的攝像機……每個人都知道該攝像機，每個人都可以查看該攝像機的數據
2. 一個秘密存在於敵軍後方的攝像機（如果敵人知道攝像機，他們可以輕鬆拿走……我們是否想維護一個安全更新通道）。
ol>

他們（現在）無法想到一種破解它的事實，並不意味著它是“不可破解的”。這就是為什麼原則上我們將應用所有安全補丁，即使該補丁位於不應訪問的組件上也是如此（例如，如果攻擊者甚至沒有用戶訪問權限，為什麼要修補特權升級漏洞？）。

現在，他們 可能是正確的，並且不打補丁實際上可能是您所要的正確決定。但是，我很少會為此接受所有人。而且這些工程師可能不太擅長執行安全審核。

作為說服他們的一種論據，我想請他們向有興趣的人提供對其中一種設備的訪問權限多汁的賞金（例如，他們打賭他們的房子嗎？）。

如果這樣做讓他們感到不舒服，那麼他們實際上並不認為這是不值得的。如果他們認為這樣做會洩露重要信息，則意味著他們模糊地依賴安全性。如果攻擊者了解其運作的一切，那麼真正的不可入侵的系統仍然可以被入侵。

PS：即使他們最終沒有下注自己的房子，也可以從實施漏洞賞金計劃中受益。 / p>

設計原始產品的工程師認為該機器不可入侵

設計泰坦尼克號的工程師認為該機器不可沉。

IT中的問題是人們不需要更新系統，為什麼要更改工作系統？然後，這些公司成為頭條新聞：“由於x疫情而關閉了4家工廠”或“ x公司已被違反，暴露了y百萬客戶的個人詳細信息”。

想像一下，IBM的雲最近將所有客戶強行使用TLS 1.1（是的，已經過時的版本），一些客戶抱怨...這些客戶應該為TLS 1.3做準備，我不知道他們在做什麼，我不在乎他們的藉口是什麼，他們應該隨時隨地運行TLS 1.2！ IBM再次兜售，UNACCEPTABLE！

現在您可以告訴我，馬stable中的黑色獨角獸正阻止您將所有內容轉移到TLS 1.2，無論如何處理並與銷售該產品的公司沒有業務往來黑色獨角獸...作為一個行業，我們不會這樣做，違反行為會成為頭條新聞，在我們吸取教訓之前，違反行為將繼續成為頭條新聞。

感覺該機器不可入侵

感覺並不重要。事實確實如此。

回到您的風險評估和/或威脅模型。查看是否對補丁程序進行修補或使軟件保持最新是您的風險處理計劃的一部分。查看過時的軟件是否是您的風險分析或威脅模型的一部分。

返回具有這些事實的工程師，並與他們討論風險如何變化或現在未處理哪些威脅基於該軟件不再過時的事實。還考慮到隨著發現可利用缺陷的機會增加，這種特定風險會隨著時間的推移而逐漸增加。因此，請放心，直到產品的合理壽命終止為止。

請注意，其緩解措施很可能會使風險被接受。但這需要進行討論，並更新風險計劃。也可能是它使今天的風險可以接受，但幾年後就不再可以接受了。然後呢？與其尋找針對工程師的爭論，不如與他們討論同一頁。您至少意識到可能需要採取緩解措施。

“系統不可入侵，為什麼要修補漏洞？”在您的問題中，您試圖反對謬論和無法證明的論點（“您如何知道這是'不可破解的'？或者您只是認為既然無法破解它，沒有人可以嗎？”）。但是最後，我認為將歸結為關於風險可接受性以及谁愿意接受該風險的討論。嘗試用這種方式向他們解釋

“我們有應用程序白名單，為什麼我們需要修補漏洞？”

應用程序白名單只是因為與白名單本身一樣好，它可以阻止不在該白名單上的應用程序，並且假定應用程序白名單工具本身沒有故障或漏洞。它還只能防止未知/不受信任的應用程序。如果攻擊者決定“在陸地上生活”並使用系統自身的工具來對抗自己該怎麼辦？如果您已作為操作系統一部分列入白名單的應用程序之一存在漏洞

“我們有防火牆，為什麼我們需要修補漏洞？” 實際上，與前一個參數相同。您是否肯定，肯定地，肯定地，肯定地100％地確定了網絡堆棧和/或防火牆本身中沒有漏洞，也沒有任何可能通過該網絡堆棧監聽或訪問的應用程序或服務中存在漏洞？

如果他們對以上問題的回答是他們對自己的選擇和決定持100％的積極態度，那麼我將撰寫一份文件，詳細說明他們對該風險的接受程度，並由其領導團隊一路簽署直到首席信息官。最終，如果（何時）系統被破壞，是他們（CxO級別）的問題所在，而在國會（或他們所要面對的任何政府監督機構）和行政人員之間被召喚的人在Equifax進行。當向執行人員解釋說他們並沒有盡力保持系統的更新和修補（這是許多不同的認證和監督小組/法律所要求的），並且他們（CxO）可能要承擔責任時，態度經常會改變。

對我來說似乎很簡單。回到關於如何避免不打補丁被認為不可破解的系統的爭論中來的問題。如果該系統被破壞，最壞的情況是什麼？假定所有適當的保護措施均失敗或同樣被破壞。不要因為排除後果而偏向於排除後果，因為您認為這樣做不會或不會被違反。

現在，以收入損失，法律/監管罰款或損害公司行業形象的形式，將最壞的情況納入成本對業務的影響範圍。

如果這種影響是嚴重的，那麼請看著您的工程師說：“您願意把您的工作-可能是您的整個職業-置於永遠不會發生的線上嗎？因為如果確實，在解釋了它是如何發生的之後，繼續使用和停產EOL操作系統並認為不需要修補的有意識的決定將排在榜首，即使不是榜首。”

另一方面，如果對業務的影響不那麼大，那麼繼續使用EOL操作系統是有意義的。但是，如何以良好的風險管理方式最好地做到這一點是另一個完整的主題。

這可能根本不是技術決定。通常，使用任何外部來源的組件都意味著您必須嚴格按照其製造商的指南使用該組件，否則可能會因涉及任何故障而導致 all 陷入後果和責任之中。 / p>

因此，如果設備行為異常，並且有人受傷（或引起其他責任），則原始的OS製造商會說“不受支持的軟件-不是我們的問題”。而且您公司的保險公司會說“使用不支持的過時軟件-這是過失的，所以不是我們的問題。”

因此，從您個人的角度來看，請確保做出肯定決定的人繼續使用過時的，不受支持的組件：

• 已被證明它們正在這樣做（並且您已經書面形式了）
• 肯定地提出了不必要進行升級的情況（並且他們已經以書面形式提出來了。）

人們之間的差距很大，他們說“我們不需要進行此升級”和“我個人承擔不進行此升級的責任” 。

在實踐中，即使沒有實際的技術需求，通常也會對其因EOL而強制要求的組件進行升級。這是設計複雜產品的必要部分。

如果您的設備具有Wi-Fi連接，則可以通過網絡對其進行攻擊。攻擊會成功嗎？攻擊設備的好處與所需的工作量有關。基於過時且不受支持的OS絕對可以簡化攻擊方法。

應用程序白名單沒有保護，只是一個小障礙。您認為黑客無法開發偽裝成應用白名單中一個的應用嗎？當然，他們可以...如果第一次嘗試失敗，他們可能會尋找一些東西。

Equifax擁有適當的防火牆。並沒有阻止黑客利用一個端口打開的漏洞，該漏洞是Equifax IT經理無法修補的Struts漏洞。防火牆只是阻止了一些較舊的明顯攻擊。

回想一下Target的黑客事件-CEO和CIO在那一次的工作中失去了工作，而這是由內部人員實施的，這是因為Target使用了較舊的Windows版本，不再更新，再加上較舊的版本，銷售點設備上的非安全連接方法。毫無疑問，CIO得出結論認為，在其POS設備上更新Win版本太昂貴了，這一判斷被證明是非常錯誤的。

認為嵌入式固件不受黑客攻擊嗎？考慮一下惠普打印機黑客。惠普有一個聰明的想法，可以通過打印作業更新打印機固件-易於啟動。直到……有人想出了將打印機變成垃圾郵件中繼器的固件版本，並通過惡意軟件打印作業將其交付。

如何進行固件更新？通過wi-fi？是的，如果他們有足夠的理由，黑客可以復制該信息。

網絡設備可以被黑客入侵為殭屍網絡的一部分……這是發動DOS攻擊的常用方法。黑客可以找到該漏洞，並知道它將損害公司聲譽，因此在他們做空您公司股票的同時發起攻擊。那已經發生了……竊取PII和CC信息並不是從黑客中獲利的唯一途徑。

現在，問問自己-您個人面臨的風險是什麼？如果要對您的系統進行黑客攻擊，您是否可以向公司的管理人員證明您在識別和緩解潛在威脅方面進行了盡職調查，尤其是因為您將系統基於不再更新的OS上？提示：用工程師的話說該系統“不可入侵”可能不符合盡職調查的條件。

就此而言，如果您的工程師說這是不可入侵的，那麼他們甚至可能根本沒有在尋找潛在的漏洞，更不用說緩解這些漏洞了。

任何人說系統無法被黑客入侵都是不現實的。不在這個時代。

根據“可用的證明”（在充分尊重您的同事的情況下），您可以向他們證明該系統是可入侵的。僱用可以做到的人，並讓他或她證明系統的弱點。我的猜測是，使用WLAN應該不會非常困難。 WLAN和防火牆？這是形容詞中的矛盾。

事後思考：也許有可能就成功付款達成共識（我的詞典中稱這是“意外費用”）；這樣，（黑客）服務將永遠物有所值。

我們每天都有頭條新聞說某些系統被黑了。這不是因為它們既不是最新的，也不是沒有被機槍保護的，而是因為有人在花時間對它們進行黑客攻擊。

最重要的是，發揮出色的人不是靠IQ力量來完成的，而是簡單的社會工程學。因此，我們被告知要使系統保持最新狀態，因為如果我們以某種方式陷入困境，我們將提供對他們無濟於事的信息。