Por que usar software no fim da vida útil é uma má ideia

Nada é construído para durar para sempre – e isso é especialmente verdadeiro para hardware e software de nível empresarial.

Para organizações de todos os tamanhos, a ideia de atualizar centenas ou até milhares de máquinas porque um provedor considerou necessário é um pensamento sombrio. Para piorar as coisas, muitas organizações não sabem que um simples descuido ao atualizar seus aplicativos pode levar a erros com implicações catastróficas de negócios.

No entanto, mantendo programas que ultrapassaram seus End of Life (EOL) é ainda mais perigoso. Executar software EOL em redes corporativas é uma das vulnerabilidades mais comuns que aumenta o risco de violação de dados de uma organização. Por exemplo, embora a Microsoft tenha alertado que o Windows 7 seria aposentado em janeiro de 2020, uma pesquisa recente mostrou que 17% dos desktops ainda estavam executando o sistema operacional em junho de 2021. O Windows 7 é um sistema operacional muito apreciado, então não é surpreendente que as organizações não queiram deixá-lo ir. No entanto, simplesmente não é tão seguro quanto seu sucessor. Os negócios que não se adaptaram pagaram o preço quando 98% dos computadores impacted by the 2017 WannaCry ransomware attack estavam executando o Windows 7.

Por esse motivo, é imperativo que as organizações entendam como reduzir os riscos de segurança que o software EOL representa e se preparem para atualizar as soluções que estão se aproximando da data EOL. Vamos dar uma olhada em por que você não deve manter o software após sua data de expiração e descrever as práticas recomendadas para se preparar para os próximos anúncios de fim de vida útil.

O EOL ocorre quando um fabricante decide parar de vender, oferecer suporte e corrigir seu hardware ou software. Funcionalmente, o fabricante não considera mais o software ou dispositivo "útil" e provavelmente planeja lançar um modelo mais novo. A empresa pode fornecer alguma garantia "pós-suporte", mas muitas vezes vem com um preço alto. A menos que o cliente pague o prêmio, o fabricante não fornecerá mais atualizações de firmware, patches ou upgrades.

Embora "fim de vida" inclua "fim de serviço" (EOS), eles não são os mesmos. Os fabricantes muitas vezes tentam incentivar os clientes a comprar novos produtos, deixando de fornecer serviços de manutenção ou atualizações após uma determinada data. Se uma solução ultrapassou sua data de EOS, o fabricante ainda pode vender o produto, mas não fornecerá mais serviços ou suporte. Então, normalmente é apenas uma questão de tempo antes que a data EOL seja anunciada.

Alguns exemplos recentes de EOL and EOS software inclui:

• Skype for Business Online (EOL 31 de julho de 2021) - Microsoft anunciou recentemente o início de seu programa EOL para a integração do Skype for Business com provedores de audioconferência de terceiros.
• Windows 10 (EOL October 14, 2025) - A Microsoft anunciou que encerrará o suporte para Windows 10.
• Skype for Business Server (EOS October 14, 2025) – Embora o Skype for Business Online seja desativado já em 2021, o Skype for Business Server permanece com uma data de extensão até 2025.
• Adobe Flash Player (EOL January 2021) -Neste momento, Adobe não oferece suporte ao Flash Player (encerrado em 31 de dezembro de 2020) e bloqueou a execução de conteúdo Flash no Flash Player a partir de 12 de janeiro de 2021.

Embora você possa achar que tem algum tempo antes de precisar agir quando uma data EOL for anunciada, é altamente recomendável que você crie um plano imediatamente. Por exemplo, quando a Microsoft anunciou que estava encerrando o suporte para Windows 7, muitas organizações lutaram para atualizar para o Windows 10. Como resultado, surgiram complicações para aqueles que não priorizaram a atualização. Isso ocorre porque o software EOL representa várias ameaças de segurança importantes se não for verificado. Quando um software específico é retirado, os fabricantes não fornecem mais patches, correções de bugs ou atualizações de segurança que os agentes de ameaças usam como backdoors em redes e sistemas. Pense desta forma - se sua organização é sua casa, o software EOL é o sistema de segurança desatualizado e facilmente evadível que você instalou há 10 anos.

Durante a pandemia de 2020, a transformação digital foi imperativa. Organizações em todos os lugares tiveram que descobrir como articular suas estratégias de transformação e, como resultado, o software EOL muitas vezes saiu da lista de tarefas. No entanto, identificar e remover quaisquer instâncias de EOL ou EOS em toda a linha é a única maneira de garantir que os cibercriminosos não aproveitem vulnerabilidades em software aposentado. Os hackers se tornaram mais sofisticados do que nunca e encontrar um ponto fraco no software EOL é mais fácil do que se pode pensar. É exatamente por isso que sua organização deve evitar dar aos atores de ameaças a oportunidade em primeiro lugar, interrompendo o uso de software EOL.

Além dos riscos de segurança, a execução do software EOL apresenta vários outros problemas potencialmente importantes que as organizações precisam considerar. Embora possa parecer mais conveniente manter o software e o hardware até que parem de funcionar, compreender todos os riscos potenciais de fazer isso pode ajudar ao fazer uma análise de custo-benefício. Alguns riscos que as empresas precisam estar cientes incluem:

• Conformidade: A maioria dos regulamentos e padrões da indústria incorporam o gerenciamento de patches como um requisito de conformidade. As indústrias regulamentadas são obrigadas a manter e executar apenas software / hardware compatível e atualizado.
• Compatibilidade de software: Sistemas operacionais desatualizados podem não ser capazes de executar softwares mais recentes.
• Desempenho e confiabilidade: É mais provável que a tecnologia mais antiga funcione lentamente ou pare totalmente de funcionar, levando à perda de produtividade..
• Custos: As equipes de TI gastam mais tempo e dinheiro tentando consertar, proteger e manter a tecnologia EOL ao longo do tempo do que uma nova compra custaria.

Apesar desses riscos, é comum que as organizações esperem até o último momento possível para atualizar seu hardware ou software EOL. Além disso, os agentes de ameaças conhecem as vulnerabilidades de segurança que o software e os dispositivos EOL têm e continuarão a aproveitá-las em ataques. Cada dia que o fabricante deixa de fornecer um patch de segurança é mais um dia para os agentes mal-intencionados encontrarem novas vulnerabilidades.

Assim que um fabricante anunciar que um de seus produtos ou serviços está se aproximando do fim da vida útil, sua empresa deve começar a criar imediatamente um plano para substituir a tecnologia que logo se tornará antiga. Geralmente, isso significa:

• Reveja o estado atual:Envolva-se em uma análise de inventário de ativos e entenda todas as dependências do sistema.
• Opções de pesquisa: Compare diferentes modelos de assinatura e opções de substituição.
• Plano de estratégia: Decida o que precisa ser substituído primeiro e encontre as atualizações adicionais necessárias.

Quando um fabricante não oferece mais suporte ou vende determinado software ou hardware, o risco geral de segurança aumentará a cada dia. Isso significa que você precisa acelerar seu processo de planejamento. No entanto, atualizar suas soluções ainda levará tempo, o que significa que você estará em grande risco até que sua iniciativa seja concluída.

Para reduzir o risco, comece imediatamente a passar por um penetration test que ajudará sua organização a obter visibilidade para saber se seus controles de segurança foram eficazes ou se é necessário melhorar sua postura de segurança. Em seguida, você pode fornecer correções temporárias para essas vulnerabilidades de segurança enquanto trabalha para atualizar sua propriedade maior.

Como diz o velho ditado, um grama de prevenção vale um quilo de cura. Na SoftwareONE, sabemos que criar e nutrir uma estratégia madura de Software Lifecycle Management (SLM) strategy ajudará você a entender intuitivamente a melhor maneira de gerenciar contratos e custos, mitigar riscos e ajustar seus processos de governança. Isso permitirá que você aja rapidamente no momento em que o EOL for anunciado e até mesmo o antecipe.

No entanto, se for um pouco tarde para isso, não hesite em se submeter a um teste de Invasão. Oferecemos avaliações de vulnerabilidade e testes de Invasão projetados para fornecer à sua equipe uma análise aprofundada das vulnerabilidades descobertas em redes internas e externas. Isso, por sua vez, ajuda a mitigar os riscos associados ao seu software EOL atual.

Quer você precise adotar uma abordagem proativa ou reativa, os especialistas da SoftwareONE estarão à disposição para ajudá-lo em cada etapa do caminho.

Você pode se sentir pego de surpresa e oprimido por um anúncio de fim de vida, pois isso provavelmente requer que sua organização reoriente completamente todo o seu estado de software. No entanto, não demore a fazer um plano assim que ouvir o anúncio. A ação proativa o ajudará a criar um caminho claro para garantir a segurança, conformidade e desempenho contínuos. E quando você se antecipa às datas de fim de vida, toda a sua organização se beneficia.