SecurityWorldMarket

20-08-2022

Ekspert advarer: Sikkerhedsopdateringer faldet voldsomt i kvalitet

Christian K. Beck, landechef hos Trend Micro i Danmark.

Cybersikkerhedsvirksomheden Trend Micro driver verdens største initiativ inden for fejlfinding i software: Zero Day Initiative (ZDI). I 2021 stod ZDI for at afsløre næste 64 pct. af alle de sårbarheder, der blev fundet i software over hele verden. Nu slår ZDI og Trend Micro imidlertid alarm, fordi de mener, at kvaliteten af de patches, som softwarevirksomhederne udsender for at rette sikkerhedsproblemer, er blevet for ringe.

ZDI og Trend Micro peger på, at softwarevirksomhederne er for dårlige til at kommunikere omkring sårbarhederne til de kunder, som benytter softwaren.

En dårlig patch er værre end ingen patch

- ZDI har hjulet softwareproducenter med at finde over 10.000 sårbarheder siden 2005, men vi har aldrig før været så bekymrede over kvaliteten af de sikkerhedspatches, vi ser i branchen som helhed. Softwareproducenter, som udsender mangelfulde patches sammen med forvirrende rådgivning, koster deres kunder store mængder tid og penge og påfører dem en unødvendig forretningsrisiko, siger Christian K. Beck, der er landechef hos Trend Micro i Danmark.

ZDI har udpeget tre hovedproblemer, som opstår, når softwareproducenter udsender fejlbehæftede eller ufærdige patches:

  • Kunderne har ikke længere et klart overblik over den reelle risiko, deres netværk er udsat for
  • Kunderne er nødt til at bruge mere tid og flere penge på at patche problemer, som de allerede har patchet en gang
  • En dårlig patch fører til større risiko, end hvis der slet ikke blev brugt nogen patch

De tre problemer fører øgede omkostning til patching med sig, fordi der efterfølgende skal køres flere patches for at lukke den oprindelige sårbar.

- Når det kræver flere patches at løse et enkelt problem, er det ganske enkelt spild af ressourcer og betyder, at kunderne bliver påført en unødig risiko. Samtidig ser vi, at softwareproducenterne er for dårlige til at kommunikere omkring sårbarheder og patches i et forståeligt sprog. Det gør det svært for kunderne at vurdere den egentlige sikkerhedsrisiko, der er forbundet med sårbarheden og patchen, vurderer Christian K. Beck.

Ny politik skal forbedre kvaliteten

For at stramme op på patchkvaliteten i branchen ændrer ZDI nu på sine regler for, hvor længe en softwareproducent må være om at udvikle en patch.

Indtil nu har ZDI som standard givet softwarevirksomheder 120 dage til at udvikle en patch. Fremover vil den deadline blive reduceret for sårbarheder, hvor ZDI vurderer, at problemet skyldes en mangelfuld sikkerhedspatch.

Her vil følgende regler gælde:

  • 30 dages deadline i tilfælde af kritiske sårbarheder, hvor det må forventes, at sårbarheden vil blive misbrugt
  • 60 dages deadline i tilfælde af kritisk eller alvorlige sårbarheden, hvor den eksisterende patch giver delvis beskyttelse
  • 90 dages deadline i øvrige tilfælde, hvor det ikke forventes, at sårbarheden vil blive misbrugt i nær fremtid

Patching koster millioner hver måned

De omkostninger, som softwarevirksomhedernes kunder bliver påført, når de skal patche sårbarheder, kan beregnes ud fra følgende formel:

Totale omkostninger = f(T, HR, S, PF)

T er den tid, der bliver brugt på at håndtere en patch

HR er de personaleomkostninger, der er forbundet med at hyre patchspecialister

S er antallet af programmer, der skal patches

PF er patchfrekvensen, som kan være hver anden til tredje uge for nogle programmers og applikationers vedkommende

- I mellemstore og store virksomheder er det ikke ualmindeligt at bruge ca. en mio. kr. og op hver måned på at patche. Uanset hvilken formel man bruger til at beregne omkostningen, vil det beløb stige, når virksomhederne skal til køre flere patches for at løse et enkelt problem, siger Christian K. Beck.

Han har følgende råd til virksomheder, som ønsker at forstå og minimere risikoen forbundet med softwaresårbarheder bedre:

  • Kortlæg og overvåg virksomhedens IT-ressourcer vha. asset discovery-programmer
  • Vælg så vidt muligt de mest troværdige softwareleverandører ved at se på omkostningerne, der er forbundet med den enkelte leverandør
  • Begræns ikke virksomhedens risikovurdering til “Patch Tuesday”, men hold nøje øje med patches, som bliver reviderede, og med ændringer i trussellandskabet

Sådan fungerer ZDI-programmet

ZDI betaler uafhængige sikkerhedsreseachere og hackere en dusør, hvis de finder en hidtil uopdaget sårbarhed i et stykke software. ZDI går derefter i dialog med virksomheden, som har udviklet softwaren, så virksomheden kan udvikle en patch, som kan fjerne sårbarheden, inden sårbarheden bliver offentligt kendt og kan udnyttes af ondsindede hackere.



Leverandører
Tilbage til toppen