Nu genomför därför Trend Micros Zero Day Initiative (ZDI) policyändringar för ineffektiva patchar, i ett försök att driva på branschomfattande förbättringar. Från och med nu kommer de 120 dagar en leverantör har på sig att rulla ut en patch för en inrapporterad sårbarhet att kortas för de upptäckta sårbarheter som misstänks ha tagit sig igenom eller rundat en patch.

– ZDI har avslöjat och rapporterat över 10 000 sårbarheter till säkerhetsleverantörer sedan 2005, men vi har aldrig varit så här bekymrade över kvaliteten på patchar. Leverantörer som släpper otillräckliga patchar, och ofta dessutom med invecklade och förvirrande instruktioner, kostar sina kunder mycket tid och pengar och adderar onödiga risker till en redan svårmanövrerad situation, säger Jean Diarbakerli, säkerhetsrådgivare hos Trend Micro.

– Även patchar som är korrekt konstruerade kan indirekt öka riskerna med specifika sårbarheter, då de avslöjar för mycket information om den underliggande sårbarheten, vilket gör det enklare för kriminella att utnyttja den. Är patchen dessutom ofullständig eller felaktig, mångdubblas risken för intrång. Det är inte ovanligt att kostnaderna för patchning av IT-miljön inom medelstora till stora företag överstiger sexsiffriga belopp varje månad. Att behöva patcha samma sårbarhet flera gånger kostar därmed företag massor av tid och pengar, samtidigt som de utsätts för onödiga risker.

Linda Kante
  • #patch
  • #trendmicro
  • #zdi

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik