Index geeft aan welke patches prioriteit hebben

Tegen Computerworld gaf Andrew Storms, hoofd beveiliging van nCircle, als voorbeeld dat Adobe doorgaans maar één zinnetje wijdt aan een bepaalde kwetsbaarheid. Een rangorde ontbreekt. De gebruiker heeft slechts de keus om de patch te downloaden en te installeren of niet. Vanaf april, bij de eerstvolgende reguliere patchronde, zal nCircle ook aan de patches van Adobe een prioriteitsscore toekennen. Op dit moment bevat de index alleen nog de patches van Microsoft.

Een van de punten waarop nCircles index verschilt van de ‘severity index’ van Microsoft is dat de laatstgenoemde alleen voor de huidige maand geldt. Het systeem van nCircle daarentegen beslaat de 12 afgelopen maanden en neemt dus ook de al wat oudere patches die zijn blijven liggen mee. Veel bedrijven slagen er volgens Storms niet in nieuwe patches binnen 30 dagen of zelfs 60 dagen intern te testen en uit te rollen.

Het “inhalen” van oudere security updates kan soms belangrijker zijn dan het snel uitvoeren van de meest recente updates. In zijn index gaat nCircle ervan uit dat een oudere kwetsbaarheid meer risico oplevert omdat de kans groter is dat er een ‘exploit’ in omloop is gekomen.

Een vorige week door Computerworld uitgevoerde test, nadat Microsoft 13 patches voor februari had verspreid, leverde een index op met 10 patches die nog uit 2009 dateerden. Geen enkele van de 35 zwakke plekken die in 2010 zijn gepatcht haalde zelfs maar de top-10 van nCircle.