необходимо ли с точки зрения безопасности заменить эти XP-ПК на новые ПК.
Нет, заменять компьютеры не обязательно. Но это необходимо обновить эти операционные системы (это может также включать замену этих компьютеров - мы не знаем , но если они работают специализированные аппаратные средства, то это может быть возможно держать компьютер.).
Существует так много реальных историй о якобы зараженных ПК с воздушным зазором. Это может происходить независимо от вашей операционной системы, но наличие устаревшей, не обновленной операционной системы делает ее еще более рискованной.
Тем более что кажется, что ваши компьютеры защищены программным ограничением для блокировки доступа в Интернет. Это, вероятно, легко обойти. (предостережение: я никогда не слышал об этом контроле веб-доступа Panda, но он, безусловно, выглядит как программное обеспечение на хосте).
Проблема, с которой вы, вероятно, столкнетесь, заключается в отсутствии сотрудничества с поставщиками. Вполне возможно, что поставщики откажутся помогать, захотят взимать 100 000 долларов США за апгрейд или могут просто обанкротиться и выбросить IP.
Если это так, то это то, на что компании нужно выделить бюджет.
Если на самом деле нет другого выбора, кроме как поддерживать исправленную 16-летнюю операционную систему (может быть, это токарный или фрезерный станок с ЧПУ за миллион долларов или МРТ), то вам необходимо провести серьезную аппаратную изоляцию хоста. Хорошим началом будет размещение этих машин в собственном vlan с чрезвычайно строгими правилами брандмауэра.
Похоже, что вам нужно что-то держать в этом отношении, так как же это:
Windows XP - это 16-летняя операционная система. Шестнадцать лет . Пусть это утонет. Я бы дважды подумал, прежде чем покупать шестнадцатилетнюю машину, а они все еще делают запчасти для 16-летних машин. Для Windows XP нет «запасных частей».
Судя по всему, у вас плохая изоляция хоста. Допустим, что-то уже попадает в вашу сеть. Каким-то другим способом. Кто-то вставляет зараженную флешку. Он будет сканировать вашу внутреннюю сеть и распространяться на все, что может использовать уязвимость. Отсутствие доступа к Интернету здесь не имеет значения, потому что звонок приходит из дома
- Этот продукт безопасности Panda выглядит как программные ограничения. Программное обеспечение можно обойти, иногда легко. Могу поспорить, что приличное вредоносное ПО все еще может выйти в Интернет, если единственное, что его остановит, это часть программного обеспечения, работающая поверх сетевого стека. Он может просто получить права администратора и остановить программное обеспечение или службу. Таким образом , они не действительно имеют доступа в Интернет вообще. Это возвращается к изоляции хоста - при правильной изоляции хоста вы можете фактически отключить их от Интернета и, возможно, ограничить ущерб, который они могут нанести вашей сети.
Честно говоря, вам не нужно оправдывать замену этих компьютеров и / или операционной системы. Они будут полностью амортизироваться для целей бухгалтерского учета, они, вероятно, уже давно истекли после окончания гарантии или поддержки со стороны поставщика оборудования, они определенно не получают никакой поддержки от Microsoft (даже если вы помахали своим титановым American Express в лице Microsoft, они все равно не возьмут ваши деньги).
Любая компания, заинтересованная в снижении риска и ответственности, заменила бы эти машины много лет назад. Существует мало оправданий для поддержания рабочих мест вокруг. Я перечислил некоторые действительные оправдания выше (если он полностью отключен от всех без исключения сетей и живет в шкафу и запускает музыку лифта, я мог бы - МОЖЕТ - дать ей пропуск). Похоже, у вас нет веских оснований оставлять их рядом. Особенно теперь, когда вы знаете, что они есть, и вы видели ущерб, который может произойти (я предполагаю, что вы писали это в ответ на WannaCry / WannaCrypt).