Bedrijven patchen 10% sneller, maar nog steeds te langzaam
Ondanks het feit dat 66% van alle systemen een of meerdere kritieke lekken heeft, weten bedrijven hun machines steeds sneller te patchen. De tijd die bedrijven nodig hebben om een nieuw lek te dichten wordt steeds minder, aldus Gerhard Eschelbeck van Qualys. "We hebben enorme vorderingen gemaakt in het verkleinen van het tijdsvenster waarin systemen kwetsbaar zijn."
Duurde het in 2003 nog 30 en in 2004 nog 21 dagen om een patch te installeren, vandaag de dag kost het gemiddeld 19 dagen. Toch worden niet alle machines zo snel gepatcht. Het duurt gemiddeld 48 dagen voordat een intern systeem gepatcht wordt, wat vooral zou komen doordat men het risico voor externe systemen hoger acht.
Bedrijven moeten echter sneller patchen willen ze virusschrijvers voor blijven. Die zijn namelijk drie keer zo snel geworden met het misbruiken van lekken. "Geautomatiseerde aanvallen veroorzaken 85% van hun schade in de eerste 15 dagen van de uitbraak". Vorig jaar vond 80% van de schade in de eerste 42 dagen plaats.
Als oplossing raadt Eschelbeck bedrijven aan om druk uit te oefenen op aanbieders zodat ze regelmatig patches uitbrengen. Van te voren aangekondigde patches, zoals een maandelijkse patchcyclus, zorgt ervoor dat patches 18% sneller geinstalleerd worden.
BillySoft en het Orakel? Volgens mij heeft Eschelbeck het niet helemaal
door. Patchen is in de wereld van thuisgebruikers leuk maar in enterprise
omgevingen die alles behalve homogeen zijn is het een ramp. Bovendien
heeft BillySoft al de eigenaardigheid zo'n 6 maanden achter te lopen met
patches, dus waarom zou je je dan nog haasten? Het is vaak beter om
vulnerablities af te schermen dan systemen direct te patchen. En dat
gezeur over BillySoft patches dat het beter is als ze 1 keer in de maand
komen is ook bullshit. Bij bijna elke patch is het 'rennen' geblazen voor de
Microsoft boys. Of het nu op dinsdag uit komt of op een vrijdag. Ze
proberen de realistische TCO cijfers zeker wat op te poetsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
