Dårligere kvalitet på sikkerhetsoppdateringer koster virksomheter millioner av kroner

Trend Micros Zero Day Initiative vil presse leverandører til å gjøre en bedre jobb ved å endre avsløringsrutiner og forbedre kommunikasjonen ut til kundene.

Den markedsledende cybersikkerhets-leverandøren Trend Micro, advarer om at et økende antall ufullstendige eller defekte sikkerhetsoppdateringer kan koste virksomheter så mye som 4 millioner kroner for hver oppdatering.

I en tale under årets Black Hat USA-konferanse i Las Vegas for kort tid siden, presenterte representanter fra Trend Micros Zero Day Initiative (*ZDI) endringer utviklet for å utbedre den betydelige nedgangen i kvaliteten på sikkerhetsoppdateringer. Endringene var i tillegg gjennomført for å øke kvaliteten på kommunikasjonen mellom leverandører og kunder.

Aldri vært like bekymret som nå

- ZDI har avslørt over 10.000 sårbarheter knyttet til leverandørers løsninger siden 2005. Samtidig har vi aldri vært mer bekymret for tilstanden til sikkerhetsoppdateringer i bransjen som nå. Leverandører som slipper utilstrekkelige oppdateringer, etterfulgt av forvirrende råd, fører til en betydelig økning i både kostnader og tidsbruk for kundene. Noe som i tillegg fører til økt forretningsrisiko, forklarer Brian Gorenc, seniordirektør for sårbarhets-forskning og leder av ZDI.

Falsk trygghet og et uforståelig språk

Zero Day Initiative har identifisert tre hovedutfordringer som en konsekvens av feilaktige eller på en annen måte ufullstendige sikkerhetsoppdateringer fra leverandørene:

• Som følge av mangelfull leverandørpraksis har ikke virksomheter lenger en fullstendig oversikt over risikoen relatert til nettverkene deres.
• Som følge av ufullstendige og feilaktige sikkerhetsoppdateringer bruker virksomheter ekstra tid og penger på å forsøke å tette sikkerhetshull de allerede har rettet opp i.
• Som følge av feilaktig tro på at utbedringer har funnet sted, resulterer en mislykket sikkerhetsoppdatering til større risiko enn om ingen sikkerhetsoppdatering hadde blitt installert.

Dårligere kvalitet koster millioner

Scenariene over vil sterkt bidra til ytterligere kostnader knyttet til sikkerhetsoppdateringer, blant annet fordi de nye og korrigerende oppdateringene, som vil være nødvendige for å rette opp sårbarhetene, vil bety økt ressursbruk og risiko. I tillegg er mange kunder ute av stand til å måle risikoeksponeringen deres nøyaktig, fordi det er en stor motvilje fra leverandørene til å dele kritisk informasjon om sine respektive sikkerhetsoppdateringer og da på et forståelig språk.

Som følge av disse utfordringene har ZDI nå valgt å endre sine rutiner for avsløring av ineffektive oppdateringer i et forsøk på å presse frem bransjeomfattende forbedringer.

Blant annet vil den tidligere 120-dagers tidslinjen for hvordan sikkerhetsoppdateringer tidligere ble rapport, bli erstattet med en langt mer offensiv tidslinje, basert på sannsynlighet for utnyttelse av sårbarheten:

• 30 dager for de mest kritisk vurderte tilfellene der det forventes at sårbarheten vil utnyttes.
• 60 dager for kritiske og større alvorlighetsfeil der oppdateringen tilbyr økt beskyttelse i en eller annen grad.
• 90 dager for andre alvorlighetsgrader der det ikke forventes noen overhengende fare for utnyttelse.

- Selv i tilfeller når sikkerhetsoppdateringene fungerer slik de skal, er konsekvensen ofte at risikoen for et cyberangrep øker for mange kunder. Det skyldes at trusselaktørene blir klar over sårbarheten og at de gjerne er raskere til å utnytte sårbarhetene, enn det virksomheter er på å tette dem. I de tilfellene hvor sikkerhetsoppdateringene ikke fungerer slik de skal, blir risikoen for et vellykket cyberangrep mangedoblet, advarer kommunikasjonssjefen i Trend Micro Norge, Karianne Myrvold.

Egen formel for å rette opp feil i sikkerhetsoppdateringer

Selv om kostnadene for å installere sikkerhetsoppdateringer varierer fra virksomhet til virksomhet, benytter Trend Micro seg av følgende formel for å beregne kostnadene for å rette opp feil i sikkerhetsoppdateringer:

Totale kostnader = f (T, HR, S, PF).

• T er Tid brukt på å installere sikkerhetsoppdateringene.
• HR er personalkostnader som kreves for å utdanne og oppdatere spesialistene som skal installere sikkerhetsoppdateringene.
• S er scopet eller omfanget av applikasjoner som skal oppdateres.
• PF står for oppdateringsfrekvens (patch frequence), som i noen tilfeller kan være hver andre til tredje uke.

Oppdateringskostnader i millionklassen

- Det er ikke uvanlig at kostnadene for å oppdatere applikasjoner og programvare hos mellomstore- og store virksomheter overstiger et sekssifret beløp hver måned. Og uavhengig av formelen som brukes til å beregne disse kostnadene, medfører det både ekstra tid og penger å oppdatere for samme sårbarhet flere ganger. I tillegg til den unødvendige risikoen som også blir større, sier Myrvold.

For å bedre forstå og redusere disse risikoene, anbefaler Trend Micro at virksomheter bør:

• Utvikle strenge rutiner for oppdagelse og administrasjon av virksomhetens eiendeler.
• Der det er mulig, stemme med lommeboken på de mest pålitelige leverandørene. Med andre ord; ikke bruk penger på aktører du ikke kan stole på.
• Gjennomføre risikovurderinger som går utover faste ukentlige rutiner. Det kan innebære å holde tritt med revisjoner av oppdateringer, samt følge nøye med på endringer i trussellandskapet.

*ZDI er verdens største leverandør-agnostiske sårbarhetsaktør. I 2021 sto ZDI bak nesten 7 av 10 (64 prosent) av samtlige sårbarheter som ble avslørt.

Klikk her for å lese mer om ZDI-endringene som nå trer i kraft: https://www.zerodayinitiative.com/blog/2022/8/11/new-disclosure-timelines-for-bugs-from-faulty-patches