Een stabiele cadans van patches blijkt goed te werken: IT'ers zijn voorbereid op het maandelijks terugkerende update-moment en rollen patches tijdig uit, zo blijkt uit nieuwe gegevens. Maar noodpatches voor kritieke kwetsbaarheden waar juist veel aandacht voor is, leiden tot update-moeheid en worden minder consequent toegepast. Wat betekent dit voor het continuous update-model dat we tegenwoordig vaak zien?

Eerst het goede nieuws: Adobe Flash wordt sneller gepatcht dan je zou verwachten. Volgens een vandaag gepubliceerd beveiligingsrapport van Cisco installeerde tachtig procent van de gebruikers de nieuwste versie van de browser-plugin in de eerste week. Let wel, Cisco baseert zich daarbij op netwerkgegevens van zijn klanten en dat zijn dus zakelijke IT-omgevingen.

Minder brede exploits

Dat valt op, omdat we al iets meer dan een jaar horen dat het aantal Flash-exploits aan het afnemen is. Over waarom dat precies is durven de meeste beveiligers geen concrete uitspraken te doen, maar een logische reden is dat aanvallers vooral bedrijven op de korrel nemen, omdat bij traag patchende consumenten een stuk minder te halen valt. Bij elkaar gesprokkelde financiële gegevens leveren niet veel op als concurrenten datasets met creditcardgegevens van miljoenen klanten in één keer pikken.

De bevinding van Cisco dat Flash-updates sneller worden uitgerold past dan ook in de opmerkingen van diverse onderzoekers dat exploits in software die de afgelopen jaren altijd bovenaan stonden in lijstjes van securitydreigingen, bijvoorbeeld Flash en Java, aan het afnemen zijn. Ook populaire exploitkits worden minder gebruikt, mede doordat ze plotseling verdwijnen, zoals het afgelopen jaar het geval was met Angler, Neutrino en Nuclear.

Dreigingswaarde

Nog een kanttekening voor de pessimisten onder ons: het dalen van exploits voor veelgebruikte software kan ook betekenen dat aanvallers meer versplinteren over exploits voor een breder ecosysteem aan software. Met andere woorden, dat criminelen zich richten op honderd verschillende stukken software in plaats van een paar populaire. Wat zou betekenen dat er wat de totale dreiging betreft weinig verandert.

Maar voor de optimisten onder ons: de doorsnee gebruiker ondervindt in dat scenario minder last van de op het web rondzwervende meuk die zich richt op de software die zij gebruiken.

Er komen overigens nog wel steeds veel waarschuwingen uit voor populaire software als Microsoft- en Adobe-producten, maar dat zegt steeds minder omdat je a) niet weet welke CVSS-score daar aanhangt en of dus de gemiddelde dreigingswaarde toe- of afeemt en b) fabrikanten advisories ondoorzichtelijker maken (een fraai voorbeeld is de nieuwe aanpak van Microsoft die is ingegeven door het nieuwe alles-of-niets-patchbeleid van Windows 7 tot en met 10) en je hierdoor minder inzicht hebt in individuele CVE's.

Bron: 2017 Annual Cybersecurity Report, Cisco Systems