ZDI og Trend Micro peger på, at softwarevirksomhederne er for dårlige til at kommunikere omkring sårbarhederne til de kunder, som benytter softwaren.
En dårlig patch er værre end ingen patch
- ZDI har hjulet softwareproducenter med at finde over 10.000 sårbarheder siden 2005, men vi har aldrig før været så bekymrede over kvaliteten af de sikkerhedspatches, vi ser i branchen som helhed. Softwareproducenter, som udsender mangelfulde patches sammen med forvirrende rådgivning, koster deres kunder store mængder tid og penge og påfører dem en unødvendig forretningsrisiko, siger Christian K. Beck, der er landechef hos Trend Micro i Danmark.
ZDI har udpeget tre hovedproblemer, som opstår, når softwareproducenter udsender fejlbehæftede eller ufærdige patches:
- Kunderne har ikke længere et klart overblik over den reelle risiko, deres netværk er udsat for
- Kunderne er nødt til at bruge mere tid og flere penge på at patche problemer, som de allerede har patchet en gang
- En dårlig patch fører til større risiko, end hvis der slet ikke blev brugt nogen patch
De tre problemer fører øgede omkostning til patching med sig, fordi der efterfølgende skal køres flere patches for at lukke den oprindelige sårbar.
- Når det kræver flere patches at løse et enkelt problem, er det ganske enkelt spild af ressourcer og betyder, at kunderne bliver påført en unødig risiko. Samtidig ser vi, at softwareproducenterne er for dårlige til at kommunikere omkring sårbarheder og patches i et forståeligt sprog. Det gør det svært for kunderne at vurdere den egentlige sikkerhedsrisiko, der er forbundet med sårbarheden og patchen, vurderer Christian K. Beck.
Ny politik skal forbedre kvaliteten
For at stramme op på patchkvaliteten i branchen ændrer ZDI nu på sine regler for, hvor længe en softwareproducent må være om at udvikle en patch.
Indtil nu har ZDI som standard givet softwarevirksomheder 120 dage til at udvikle en patch. Fremover vil den deadline blive reduceret for sårbarheder, hvor ZDI vurderer, at problemet skyldes en mangelfuld sikkerhedspatch.
Her vil følgende regler gælde:
- 30 dages deadline i tilfælde af kritiske sårbarheder, hvor det må forventes, at sårbarheden vil blive misbrugt
- 60 dages deadline i tilfælde af kritisk eller alvorlige sårbarheden, hvor den eksisterende patch giver delvis beskyttelse
- 90 dages deadline i øvrige tilfælde, hvor det ikke forventes, at sårbarheden vil blive misbrugt i nær fremtid
Patching koster millioner hver måned
De omkostninger, som softwarevirksomhedernes kunder bliver påført, når de skal patche sårbarheder, kan beregnes ud fra følgende formel:
Totale omkostninger = f(T, HR, S, PF)
T er den tid, der bliver brugt på at håndtere en patch
HR er de personaleomkostninger, der er forbundet med at hyre patchspecialister
S er antallet af programmer, der skal patches
PF er patchfrekvensen, som kan være hver anden til tredje uge for nogle programmers og applikationers vedkommende
- I mellemstore og store virksomheder er det ikke ualmindeligt at bruge ca. en mio. kr. og op hver måned på at patche. Uanset hvilken formel man bruger til at beregne omkostningen, vil det beløb stige, når virksomhederne skal til køre flere patches for at løse et enkelt problem, siger Christian K. Beck.
Han har følgende råd til virksomheder, som ønsker at forstå og minimere risikoen forbundet med softwaresårbarheder bedre:
- Kortlæg og overvåg virksomhedens IT-ressourcer vha. asset discovery-programmer
- Vælg så vidt muligt de mest troværdige softwareleverandører ved at se på omkostningerne, der er forbundet med den enkelte leverandør
- Begræns ikke virksomhedens risikovurdering til “Patch Tuesday”, men hold nøje øje med patches, som bliver reviderede, og med ændringer i trussellandskabet
Sådan fungerer ZDI-programmet
ZDI betaler uafhængige sikkerhedsreseachere og hackere en dusør, hvis de finder en hidtil uopdaget sårbarhed i et stykke software. ZDI går derefter i dialog med virksomheden, som har udviklet softwaren, så virksomheden kan udvikle en patch, som kan fjerne sårbarheden, inden sårbarheden bliver offentligt kendt og kan udnyttes af ondsindede hackere.