Connect with us

technokrata

Sosem lesz vége a patch-elésnek?

Dotkom

Sosem lesz vége a patch-elésnek?

Habár a rendszergazdák a korábbi időszakhoz képest jóval gyorsabban telepítik a szoftverjavításokat, még mindig a rosszfiúk vezetik a versenyt.

Mi az oka annak, hogy a XXI. században, annak ellenére, hogy egyre gyorsabban telepítik a megjelenő frissítéseket, patch-eket, még mindig a vírusírók, hackerek vannak helyzetelőnyben? Nos, az, hogy a kiadott javítások révén nyilvánosságra kerülő sérülékenységeket kihasználó kódok is gyorsabban jelennek meg, és egyre inkább hozzáférhetővé válnak a szélesebb nyilvánosság számára is.

Ennek következménye, hogy a rendszerek közel 70 százaléka valamilyen módon sebezhető és ki van téve egy közvetlen támadás veszélyének, mondta Gerhard Eschelbeck, a sebezhetőség-menedzsmenttel foglalkozó Qualys cég alelnöke a Computer Security Institute konferencián. Pedig a helyzet folyamatosan javuló tendenciát mutat: az idei évben 2 napot sikerült lefaragniuk abból az időből (half life), amely a sérülékenység megjelenése és a rendszerek felének megfelelő frissítése között telik el. Ez 2005-ben 19 napot jelent, míg tavaly 21 nap volt ennek hossza. Két évvel korábban még 30 napra rúgott a half life ideje, mondta Eschelback.

Mindez azonban nem elég. A biztonsági rések, hibák kihasználási módszereinek 80 százaléka ezen időszakon belül jelenik meg, azaz – ha csak néhány napig is, de – komoly kockázatnak téve ki a rendszereket, állította a Qualis alelnöke. Eschelback ezért azt javasolta minden szervezetnek, hogy a patch-elésnek a napi teendők között biztosítsanak elsőbbséget. A későbbi behatolások, rendszerfeltörések 90 százalékáért a sebezhetőségek mindössze 10 százaléka felel, mondta a szakértő. Azt ő is elismerte, hogy minden lehetséges hibát képtelenség időben kiiktatni – ezért fontos a jó prioritás meghatározása, a kritikus fontosságú patch-ek minél hamarabb való installálása.

Eschelback kutatásához több mint 32 milliónyi sérülékenység-szkennelésből származó adatot használt fel. A 2003-as és a 2004-es évek teljes időtartalmára, míg 2005-ben az első három negyedévre vonatkoztatva érvényesek a fenti információk.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek