Welke patch heeft prioriteit?

Een Amerikaanse securityauditspecialist heeft een waarderingssysteem voor securitypatches opgesteld. Daarmee kan je zien welke patch best voorrang krijgt.

Een Amerikaanse securityauditspecialist heeft een waarderingssysteem voor securitypatches opgesteld. Daarmee kan je zien welke patch best voorrang krijgt.

Het Amerikaanse securityauditbedrijf nCircle heeft de [‘Patch Priority Index’] gelanceerd, zo lezen we bij het Amerikaanse Computerworld.com. Voorlopig mikt de lijst enkel op Microsoft-patches, maar ze wordt waarschijnlijk uitgebreid naar andere leveranciers (onder meer Adobe).

De redenering van nCircle houdt steek: soms is de informatie die leveranciers geven over bepaalde patches erg beperkt (‘installeren of niet installeren’). Daardoor is het voor it-afdelingen of individuele gebruikers soms moeilijk in te schatten welke update prioritair is. De nieuwe index moet daar wat bij helpen.

Nochtans heeft Microsoft zelf ook zijn ‘severity index’. Maar, zo luidt de redenering, die slaat enkel op de huidige maand. De lijst van nCircle bekijkt het hele afgelopen jaar, waardoor ook oudere patches – die om de ene of andere reden zijn blijven liggen – opgenomen zijn. Volgens nCircle is de periode van 30 dagen voor veel bedrijven tekort om nieuwe patches te testen en uit te rollen. Ook stelt het bedrijf dat een oudere, ongedichte zwakke plek een hogere risicograad moet krijgen, omdat de kans op een ‘exploit’ grote is. Ook wordt gekeken naar de ‘klasse’ van kwetsbaarheid (vb. kan je met de bug een heel systeem kapen of niet?) en naar hoe gemakkelijk de nCircle-onderzoekers menen dat een zwakke plek uit te buiten is.