Microsoft dokázal předpovědět pouze 27 % exploitů

5. 11. 2009

Sdílet

Před rokem začal Microsoft v rámci svých bulletinů zabezpečení vydávat nejen popis chyb a jejich hodnocení podle závažnosti, ale i tzv. Exploitability Index, který se pokouší odhadovat pravděpodobnost zneužití.

Známkou 1 až 3 se zde Microsoft snaží odhadnout, zda se během následujícího měsíce objeví exploit příslušné zranitelnosti.
Cílem Microsoftu bylo, aby firmy, které opravy do produkčního prostředí nasazují až po jejich testování, měly další vodítko, v jakém pořadí záplaty nasazovat, tj. nerozhodovaly se pouze podle závažnosti chyb.

Problém je v tom, že analýza předpovědí Microsoftu z první poloviny tohoto roku ukazuje, že úspěšnost není vysoká, realitě odpovídá jen asi ve čtvrtině případů. 41 zranitelností dostalo v Exploitability Index známku 1, odpovídající tomu, že se v příštím měsíci pravděpodobně objeví funkční zneužití; k tomu došlo ale jen v 11 případech. V případě kritických chyb s indexem 1 je příslušný poměr 5 z 11, tedy opět nadpoloviční procento „falešných poplachů“.

Adam Storms z firmy nCircle Network Security to pro americký Computerworld označil za velmi špatný výsledek. Microsoft uvádí, že i tam, kde exploit nebyl zveřejněn, ale mohly pokusy o zneužití probíhat tajně a nepodařilo se je jen zaznamenat. Firma se také brání tím, že svůj index sestavuje raději „konzervativním“ způsobem, aby zákazníky varovala raději více než méně, a zajistila jim tak větší ochranu. Podle Microsoftu vedl tento přístup k tomu, že se naopak neobjevilo žádné zneužití u zranitelností se známkou 2 nebo 3.

bitcoin školení listopad 24

John Pescatore, bezpečnostní analytik společnosti Gartner, ale uvádí, že Microsoft by měl známku 1 prostě užívat méně často, jinak celý index v podstatě ztrácí smysl. Pescatore se také domnívá, že by Microsoft zákazníkům usnadnil situaci, kdyby namísto vlastního hodnocení rizika přešel při popisu zranitelností na standard CVSS (Common Vulnerability Scoring System), který užívá například Oracle, Cisco nebo americký CERT (Computer Emergency Response Team).

 

Autor článku