Computerworld News Service: En uge efter Wolfgang Kandeks rapport blev udgivet under sikkerhedskonferencen RSA, understreger forfatteren, at hastigheden for forbedringer af sikkerhedsopdatering er sænket, for hvert år undersøgelsen er blevet gennemført, siden den første rapport udkom i 2004.
På fem år er den gennemsnitlige tid, det tager virksomheder at lukke sårbarheder, faldet med kun én dag fra 60 dage til 59 dage, og det i en tid hvor antallet af fejl er stigende, og den hastighed, med hvilken de udnyttes, er accelereret fra uger til i visse tilfælde dage.
I samme periode er antallet af IP-adresser, der er blevet anonymt skannet af virksomheden fra dens kundekreds, steget fra tre millioner til et statistisk væsentligt 80 millioner, mens antallet af sårbarheder, der bliver fundet, er skudt i vejret med raketfart fra tre millioner til 680 millioner. Heraf er de 72 millioner sårbarheder vurderet af Qualys som "kritiske".
"Sikkerhedsopdaterings-cyklussen accelererer faktisk ikke, men angriberne er blevet meget hurtigere," siger sikkerhedskonferencen RSA, understreger dens forfatter, Wolfgang Kandek.
"Det positive er, at folk holder øje med sårbarhederne, det negative er, at angriberne er blevet hurtigere."
Antallet af computere, der aldrig bliver sikkerhedsopdaterede, har ifølge Wolfgang Kandek ligget ret stabilt på omkring 10 procent.
Stadig brug for nye software-teknologier
Når statistikkerne sammenholdes, antyder de, at der er behov for en ny tilgang for at løse problemet, og den eneste sandsynlige kandidat i horisonten er cloud computing.
"Vi tror, at cloud-sikkerhedsleverandører kan levere en højere standard i forhold til sikkerhed," siger sikkerhedskonferencen RSA, understreger dens forfatter, Wolfgang Kandek.
"Cloud-leverandørerne kan komme ind og gøre det meget bedre."
I modsætning til sikkerhedsopdateringer, som for virksomheders it-administratorer godt kan være en kompleks opgave, så vil det i et cloud-miljø være langt mere teknisk forudsigeligt at opdatere applikationer - den lille risiko for at 'knække' en applikation ved opdateringen, vil være næsten væk, siger han.
Wolfgang Kandek har utvivlsomt ret i sin observation - virtualiser servere og endda pc'er for derved at placere usikkerheden ved at foretage opdateringer i et låst miljø. Men virksomhederne vil stadig have brug for nye software-teknologier, der kan gøre det muligt for dem at fortsætte med at bruge mobile computere såsom bærbare og smartphones, hvilket kan lægge en dæmper på fordelene ved at bruge cloud-sikkerhedsmodellen.
Efter starten i 2004 under ledelse af Qualys tidligere ansatte Gerhard Eschelbeck får den årlige rapport nu igen opmærksomhed under ledelse af Kandek som rapportens ny forfatter. 'The Laws of Vulnerability 2.0' analyserer data fra 2008 og kan downloades her fra Qualys website.
Oversat af Thomas Bøndergaard
