Företag som fortfarande drar sina fötter med plåster

En studie från säkerhetsleverantören Qualys har funnit att företag patchar bara ett hår snabbare än för fem år sedan.

Qualys har genomfört ett forskningsprojekt under de senaste sex åren där det samlar in data om programvara sårbarheter från sina kunders datorer. Qualys tillhandahåller webbaserade tjänster som kan upptäcka sårbarheter i programvara, webbapplikationer och kan också utföra överensstämmelsesrevisioner.

De senaste uppgifterna samlades in under 2008, säger Wolfgang Kandek, Qualys CTO. Qualys skannade 80 miljoner IP (Internet Protocol) adresser med 200 skannrar som tittade på Internet-vända datorer och 5.000 interna skannrar bakom brandväggar på företagets intranät.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Kandek sade att 680 miljoner sårbarheter hittades, med 72 miljoner som kritiska, vilket innebär att mjukvaruproblemet skulle kunna tillåta en hacker att ta kontroll över en dator på distans och installera skadlig programvara.

Qualys har skapat sin egen mätning, kallad "halveringstid" för hur snabbt företag lappar. Mätningen är antalet dagar det tar ett företag i en viss bransch att klistra in 50 procent av de sårbarheter som publicerats offentligt.

Siffrorna har knappt förändrats sedan Qualys släppte sin senaste studie 2004. Sedan tog det en i genomsnitt 30 dagar för att träffa det halvpatchade märket. För 2008 har den här siffran bara flyttat upp till 29,5 dagar, säger Kandek.

"Patchcykeln har inte riktigt ökat," sade Kandek under InfoSecurity-konferensen tisdagen i London.

Enligt branschen varierar siffrorna: Tjänstesektorn tar 21 dagar; finansbranschen, 23 dagar; och grossist och detaljhandel, 24 dagar. De laggards är hälsovårdssektorn på 38 dagar och tillverkas vid 51 dagar. Problemet med att lägga ut patching är att hackare skapar exploaterar snabbare än företag som lappar dem, sade Kandek. "Anfallarna blir mycket snabbare än tidigare", säger han.

Av de 21 fixar frågorna från Microsoft på Patch Tuesday i månaden var exploater för 10 av dessa problem redan i omlopp, säger Kandek.

Datoradministratörer också ta för länge att patchera vad som bör vara högre prioriterade applikationer, som webbläsare, säger Kandek.

Även kända sårbarheter i programvara, inklusive Microsoft Office, Adobe Systems Acrobat och Microsoft Windows Server 2003 SP2 finns även på system efter patchar är tillgängliga, säger Kandek.

Adobe Acrobat verkar vara särskilt låg på patchlistan. Det är farligt eftersom hackare har skapat skadliga PDF-filer (bärbara dokumentformat) som kan utnyttja sårbarheter och infektera en dator. Acrobat kan vara en "viktig källa till malwareinfektioner."

"Vi måste lösa dessa sårbarheter så snart som möjligt", säger Kandek.