04-09-2023

Cloudleverandører skjuler sikkerhedsproblemer

Christian K. Beck, adm. direktør hos Trend Micro i Danmark.

Flere og flere softwareleverandører løser sikkerhedsproblemer i det skjulte uden at fortælle kunder og omverden om, at problemerne har eksisteret. Det gælder særligt leverandører af cloudtjenester. Det viser ny research fra cybersikkerhedsvirksomheden Trend Micro. “Den type adfærd er en trussel mod vores fælles digitale sikkerhed,” lyder vurderingen fra Christian K. Beck, adm. direktør hos Trend Micro i Danmark.

Trend Micro driver verdens største initiativ inden for fejlfinding i software: Zero Day Initiative (ZDI). I 2021 stod ZDI for at afsløre næsten 64 pct. af alle de sårbarheder, der blev fundet i software over hele verden.

Nu slår ZDI og Trend Micro imidlertid alarm, fordi flere og flere virksomheder slører sikkerhedsproblemer og retter dem i det skjulte uden at kommunikere omkring det. Fænomenet kaldes “silent patching”.

Cloududbydere slører sandheden om sikkerhedshuller

Trend Micros nyeste research afslører, at silent patching især er udbredt blandt leverandører af cloudtjenester.

- Vores seneste research viser en bekymrende tendens til, at flere store softwareproducenter, navnligt udbydere af cloudservicer, nedprioriterer gennemsigtighed, når de opdager sikkerhedshuller i deres egen software. De slører sandheden eller forhaler kommunikation til omverden, herunder deres kunder, omkring sikkerhedshullerne. Det skal stoppes, fordi silent patching er en trussel mod den generelle cybersikkerhed, siger Christian K. Beck.

Han peger på, at silent patching bl.a. forhindrer, at man som virksomhed har mulighed for at evaluere den reelle risiko ved at bruge et softwareprodukt. Samtidig går sikkerhedsbranchen som helhed glip af værdifuld information, som kan bruges til at forbedre den generelle sikkerhed i større økosystemer af software.

Allerede sidste år advarede Trend Micro om, at stadig flere patches er af ringe kvalitet, og at virksomhederne bag er for dårlige til at kommunikere omkring deres patches i et klart sprog. Den tendens er blevet forværret det seneste år, bl.a. pga. et stigende antal sager med silent patching.

Voksende antal sårbarheder

ZDI har hjulet softwareproducenter med at finde over 10.000 sårbarheder siden 2005, og antallet stiger år for år. Alene i 2023 har ZDI ført til afsløringen af 1000 nye sårbarheder.

- Hvis de sårbarheder, vi finder, bliver misbrugt, ville det koste softwareleverandørene og deres kunder 10 gange mere i tid og økonomiske tab, end hvis sårbarhederne blev forebygget. Gennem ZDI sørger vi for, at sårbarhederne proaktivt bliver fundet og elimineret, før nogen har mulighed for at misbruge dem. På den måde sparer vi vores kunder og hele IT-branchen for milliard af kroner, som ellers skulle bruges på genoprettelse af tabte data, siger Christian K. Beck.

Sådan fungerer ZDI-programmet

ZDI betaler uafhængige sikkerhedsreseachere og hackere en dusør, hvis de finder en hidtil uopdaget sårbarhed i et stykke software. ZDI går derefter i dialog med virksomheden, som har udviklet softwaren, så virksomheden kan udvikle en patch, som kan fjerne sårbarheden, inden sårbarheden bliver offentligt kendt og kan udnyttes af ondsindede hackere.