Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/4/2009
Firmaerne er ikke blevet hurtigere til at installere sikkerhedsrettelser de sidste fem år. Nogle maskiner bliver aldrig opdateret.Det fremgår af forskning fra firmaet Qualys, der indsamler data om sårbarheder hos kunder. Ud fra scanninger af 80 millioner IP-adresser har firmaet fundet 680 millioner sårbarheder på computerne.
De data har teknologichef Wolfgang Kandek benyttet til at udvikle sin anden version af loven om sårbarheder, Laws of Vulnerabilities 2.0. Den første version kom i 2004.
Dengang viste tallene, at det i gennemsnit tager 30 dage, fra en rettelse bliver tilgængelig, til halvdelen af de sårbare maskiner er rettet.
Halveringstiden er uændret, den ligger fortsat på knap 30 dage. Men der er stor forskel på brancherne: I finanssektoren er halveringstiden på 23 dage, mens den i produktionsvirksomheder ligger på 51 dage.
Tallene viser også, at mange, måske alle sårbarheder lever evigt: Nogle computere får aldrig installeret rettelsen, der fjerner en sårbarhed.
Mens firmaerne ikke er blevet hurtigere til at opdatere deres systemer, er angriberne til gengæld blevet kvikkere: Ofte går der nu under 10 dage, før vi ser et angreb, der udnytter en ny sårbarhed.
Wolfgang Kandek anbefaler, at firmaerne får fart på sikkerhedsopdateringerne. Det kan man gøre ved at prioritere: Man kan opdele computerne alt efter, om de er meget udsatte og derfor skal opdateres hurtigt, eller om de er mere beskyttede og mindre udsatte. Desuden kan man opdele applikationerne alt efter, hvor afhængig man er af dem.