Prioriteit patches gevat in index

26 februari 2010

Het systeem van nCircle Network heet Patch Priority Index. NCircle, dat software en diensten levert voor security en compliance audits, zegt er niet op uit te zijn de beveiligingsadviezen van leveranciers als Microsoft, Adobe, Apple en Mozilla te vervangen. De Patch Priority Index heeft als doel gebruikers meer houvast te geven bij het op waarde schatten van de beveiligingsupdates, omdat de informatie van de softwareleveranciers zelf over het belang van een bepaalde patch soms nogal karig is.

Tegen Computerworld gaf Andrew Storms, hoofd Beveiliging van nCircle, als voorbeeld dat Adobe doorgaans maar één zinnetje wijdt aan een bepaalde kwetsbaarheid. Een prioriteitsstelling ontbreekt. De gebruiker heeft slechts de keus om de patch te downloaden en te installeren of niet.

Op dit moment bevat de index alleen nog de patches van Microsoft. Vanaf april, bij de eerstvolgende reguliere patchronde van Adobe, zal nCircle ook aan de patches van deze leverancier van producten als Acrobat (pdf) en Flash een prioriteitsscore toekennen.

Het Microsoft Security Response Center (MSRC) gebruikt zelf al jaren een vierdeling (‘severity index’) om de ernst van een bepaalde kwetsbaarheid aan te geven: kritiek, belangrijk, gematigd en laag. Deze index gaat ervan uit dat het lek al in de openbaarheid is en dat exploits ruimschoots in omloop zijn. Overigens hanteert Microsoft daarnaast ook nog een ‘exploitability index’ die de kans op misbruik aangeeft met het cijfer 1, 2 of 3.

Ook nCircle kent aan elke kwetsbaarheid in software een bepaalde inherente ‘risicofactor’ toe, afhankelijk van het gevaar dat misbruik kan opleveren. Het belangrijkste onderscheid met de ‘severity index’ van Microsoft is de factor tijd. Het systeem van nCircle beslaat de twaalf voorgaande maanden en neemt dus ook oudere patches mee die misschien zijn blijven liggen. Veel IT-afdelingen slagen er volgens Storms niet in nieuwe patches binnen dertig dagen of zelfs zestig dagen intern te testen en uit te rollen.

Het ‘inhalen’ van oudere security-updates kan soms belangrijker zijn dan het snel uitvoeren van de recentste updates. Bij het berekenen van de risicoscore per beveiligingslek gaat nCircle ervan uit dat een oudere kwetsbaarheid meer gevaar oplevert omdat de kans groter is dat er een ‘exploit’ in omloop is gekomen die het beveiligingslek uitbuit. Verder wordt rekening gehouden met de vaardigheden die een malware-auteur nodig heeft om met succes een aanval uit te voeren. Dit alles levert volgens nCircle een fijnmaziger waardering op dan de gangbare indexen. Een test die Computerworld uitvoerde nadat Microsoft in februari dertien patches had gepubliceerd, leverde een index op met tien patches die nog uit 2009 dateerden. Geen enkele van de 35 zwakke plekken die Microsoft tot dusver in 2010 heeft gepatcht haalde nCircles top 10.

Alex de Jong, erkend netwerkprofessional en verbonden aan de Netwerk Gebruikersgroep Nederland (NGN), denkt dat er wel behoefte is aan een ranglijst zoals die van nCircle. “Je krijgt als beheerder veel patches voor de kiezen en hebt geen tijd om alles uit te testen. Het is handig dat er dan een autoriteit is die dat voor je doet.” De Jong twijfelt er wel aan of nCircle die autoriteit zou moeten zijn, al kan dat bedrijf in de loop der tijd wellicht een reputatie als zodanig opbouwen. Maar het zou beter zijn als een officiële veiligheidsinstantie zoals de National Security Agency (NSA) in de Verenigde Staten deze taak op zich neemt, vindt De Jong.

Een andere manier om tegen patchen aan te kijken is om het als ‘een stukje risicomanagement’ te zien, vindt IT-consultant De Jong. “Er zijn bedrijven die patches niet zelf meer testen maar gewoon alles installeren. De kans dat je problemen krijgt door niet te patchen is namelijk groter dan dat de patches zelf voor problemen zorgen.” In dat geval heeft een ranglijst weinig toegevoegde waarde. Hij beaamt overigens dat veel bedrijven achterlopen met het installeren van patches, zeker in maanden dat Microsoft tien of meer patches tegelijk loslaat. De Jong: “Als je alleen al kijkt naar het aantal patches voor Windows XP, valt daar voor een beheerder bijna niet tegenop te werken.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!