Patchen lekken gaat nog steeds traag

Dat blijkt uit het Vulnerability Stats Report 2021 van beveiliger Edgescan. De gegevens hiervoor zijn afkomstig van “duizenden security assesments” die wereldwijd zijn uitgevoerd door Edgescan in 2020. Het is de zesde keer dat dit rapport uitkomt.

Het goede nieuws is dat in 2020 nog maar 43 procent van de systemen die gescand werden een of meer bekende lekken bevatte, terwijl dat in het jaar ervoor nog bij 77 procent het geval was. De staat van de veiligheid van de systemen lijkt in 2020 verbeterd ten opzichte van 2019. Nog maar 4 procent van de systemen die Edgescan heeft onderzocht, bevat meer dan 10 lekken. In 2019 ging het nog om ruim 15 procent. 30 procent heeft 2 tot 10 lekken.   

Patchen blijft traag

Organisaties patchen echter niet sneller dan in voorgaande jaren. Gemiddeld kost het 60,3 dagen voordat een lek is gedicht. Een lek met een laag risico kost gemiddeld 47,13 dagen om te patchen. De meeste tijd, 84,4 dagen, wordt genomen voor lekken met een hoog risico. Een verklaring is dat veel organisaties kampen met een tekort aan securityspecialisten. Daarnaast accepteren bedrijven ook dat een deel van de hen bekende lekken niet gedicht worden. Ze wegen de voor- en nadelen af.  

Zowel kritieke als juist lagerisicolekken worden sneller gedicht. Bij kritieke lekken speelt waarschijnlijk de hoge urgentie hierbij een belangrijke rol. Bij de lekken met een laag risico hangt dit samen met het feit dat ze vaak makkelijker opgelost kunnen worden.

Lekken die als high risk en critical risk zijn bestempeld kunnen wel complexer en moeilijker zijn om te repareren maar vaak genoeg kunnen ze ook met een simpele patch of configuratietweak opgelost worden.

Dat zijn echter gemiddelden. Edgescan vond nog wat uitersten: zo werd één lek binnen een uur en drie kwartier gedicht, terwijl de traagste patchoperatie 309 dagen duurde.

De grootte van de organisatie maakt weinig uit voor de snelheid waarmee patches worden doorgevoerd. Een organisatie met maximaal 100 medewerkers doet er gemiddeld 73 dagen over, terwijl middelgrote ondernemingen tot 1000 werknemers er 56 dagen over doen. Veel grotere organisaties hebben er gemiddeld 61 dagen voor nodig.

Lek uit 1999

Twee derde van de CVE’s die Edgescan in 2020 vond, waren meer dan dan 3 jaar oud. 32 procent was zelfs nog van voor 2015. Overigens werd in 2020 nog een lek gevonden dat dateert van 1999. CVE-1999-0517 betreft een default SNMP communitynaam. Daarbij is sprake van een lege of missende naam, mogelijk voor een wachtwoord, dat gevonden werd voor service die met het SNMP-netwerkmanagementprotocol werkt.

Dat een lek oud is, wil zeker niet zeggen dat het niet meer gebruikt wordt door aanvallers. Enkele zeer oude zwakke plekken worden nog volop gebruikt, geven de onderzoekers aan.