Microsoft biedt graadmeter voor kwetsbaarheid

Microsoft biedt een barometer voor zijn patches; ict'ers kunnen dan zien of er zwaar weer op komst is.

Microsoft biedt een barometer voor zijn patches; ict'ers kunnen dan zien of er zwaar weer op komst is.

Microsoft komt vanaf oktober niet alleen met informatie over beveiligingsgaten vóór er een patch is, maar biedt ook een index met de mate van kwetsbaarheid van een gat. Die 'exploitability index' komt voortaan mee met het maandelijkse beveiligingsbulletin van Microsoft.

De informatiebulletins die Microsoft verstuurt net vóór zijn maandelijkse patchronde krijgen vanaf oktober dit jaar ook een graadmeter voor de beveiligingsgaten. De leverancier geeft daarin aan in welke mate gaten zijn te misbruiken, dus wat de ernst van de kwestie is. Dit is gebaseerd op de huidige indeling, waarbij Microsoft slechts aangeeft of een patch kritiek of slechts belangrijk is. De nieuwe index voegt daar informatie aan toe over de kans op functionele exploits.

Deze zogeheten 'exploitability index' is de tweede stap in Microsofts nieuwe initiatief om de beveiliging van zijn producten te verbeteren. De eerste stap is het vooraf onthullen van gedetailleerde informatie over beveiligingsgaten. Microsoft deelt die informatie met een select gezelschap van beveiligingsleveranciers, vóórdat er dus een patch is. Dit moet de tijd verkorten tussen het ontdekken van een gat en het verschijnen van malware die daar misbruik van maakt. Dat is het 'window of oppurtunity' van crackers.

Informatie helpt

Microsoft zegt dat het beveiliging nu verbetert door meer informatie te bieden. Dat is dus enerzijds vooraf aan leveranciers van beveiligingsproducten zoals antivirus en firewalls. Anderzijds door informatie te bieden aan beheerders, over welke beveiligingskwesties - en aankomende patches - het grootste risico vormen. Die gaten - en het testen en installeren van de 'bijbehorende' patches - dienen dan prioriteit te krijgen.

Dit is een flinke ommezwaai voor Microsoft, die voorheen details over fouten in zijn software liever stil hield. "Tegelijk met de voorspelbaarheid van ons maandelijkse updateproces is er een ongewenste cyclus ontstaan: het uitkomen van exploitcode die is gerelateerd aan die updates. Soms verschijnt die code al binnen enkele uren", meldt Microsoft in een persverklaring.

Enkele uren

Woordvoerders verklaren dat Microsoft die verandering in het beveiligingslandschap begrijpt en daarom deze stappen zet. Informatieverstrekking kan de beveiliging verbeteren, vindt ook de 3Com-beveiligingsdivisie Tipping Point, die één van de eerste deelnemers is aan dit nieuwe Microsoft-initiatief. "Zelfs een voorsprong van vierentwintig uur geeft ons genoeg tijd om de nieuwste patches te testen en te installeren", zegt directeur David Endler van Tipping Point.

"De tools van cybercriminelen zijn de laatste jaren sterk ontwikkeld; zij kunnen nu patches van Microsoft automatisch analyseren en binnen enkele uren exploitcode uitdraaien." Dat Microsoft nu beveiligingsleveranciers voortijdig informatie biedt over bugs kan dus veel schelen.