Security-index Microsoft vaker mis dan raak
Dit blijkt uit gegevens die Microsoft zelf heeft gepubliceerd in het zevende, halfjaarlijkse Security Intelligence Report dat begin deze week is uitgebracht. Het rapport bestrijkt de eerste helft van dit jaar.
Shutterstock
Shutterstock
Sinds ruim een jaar werkt Microsoft bij zijn maandelijkse patchronde met een ‘exploitability index’. Van iedere ontdekte kwetsbaarheid – sommige security bulletins bevatten patches voor meerdere zwakke plekken - wordt daarbij aangegeven hoe groot de kans is op misbruik door kwaadwillenden binnen 30 dagen na publicatie van het bulletin, uitgedrukt in het cijfer 1, 2 of 3. Het cijfer ‘1’ bijvoorbeeld wil zeggen: “consistente exploitatiecode (is) waarschijnlijk”.
In de eerste helft van dit jaar voorspelde Microsoft van 41 zwakke plekken dat ze waarschijnlijk binnen 30 dagen zouden worden uitgebuit. In werkelijkheid gebeurde dat in slechts 11 gevallen (27 procent). In de 46 gevallen waarin Microsoft dacht dat misbruik onbetrouwbaar of onwaarschijnlijk was, bleek geen enkel beveiligingslek binnen 30 dagen werkelijk te zijn misbruikt.
Microsoft heeft daarnaast een ander, al langer bestaand waarderingssysteem. Dat geeft de ernst van een bepaald beveiligingslek aan, ongeacht hoe groot de kans op misbruik is. De termen die Microsoft hiervoor gebruikt zijn critical (kritiek), important (belangrijk), moderate (gematigd) en low (gering).
Naar deze maatstaf scoort Microsoft iets beter. Van de 16 ‘kritieke’ security bulletins in het eerste halfjaar kregen er 11 een indexcijfer 1. Van die 11 werden er 5 binnen een maand misbruikt, wat een score van 55 procent aan ‘valse positieven’ opleverde. Ter verdediging van de vele missers voert Microsoft aan dat het liever aan de voorzichtige kant blijft om klanten optimaal te beschermen tegen potentiële gevaren.
Nu de prognoses zo vaak niet uitkomen, rijst de vraag of het gebruik van de index nog zin heeft. Enkele beveiligingsexperts zeiden tegen Computerworld dat ze de waarde van de indexcijfers in twijfel trekken. “Je kunt nog beter kruis of munt gooien”, zegt operationeel directeur Andrew Storms van nCircle Network Security, al begrijpt hij wel dat Microsoft graag op safe speelt. Analist John Pescatore van adviesbureau Gartner meent dat Microsoft de criteria moet bijstellen zodat minder lekken het indexcijfer 1 meekrijgen. Maar eigenlijk vindt Pescatore de index hoe dan ook weinig nut hebben en hij twijfelt eraan of iemand er ooit naar kijkt.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee