Microsoft: Achten Sie nicht so sehr auf verzögerte Patches!
Matt Millers Präsentation bei Blue Hat gestern enthielt einige erstaunliche Statistiken, die auf Daten des Security Response Center von Microsoft basieren. Die Zahlen bestätigen eindeutig, was wir seit Jahren sagen: Die Chancen, durch eine Verzögerung von Windows- und Office-Patches um bis zu 30 Tage mit Malware in Berührung zu kommen, sind im Vergleich zu allen anderen Möglichkeiten, geschlagen zu werden, gering.
Das Präsentationsdeck für seinen Vortrag zeigt, wie die Anzahl der Sicherheitslücken (gemessen an CVEs) sprunghaft gewachsen ist – in den letzten fünf Jahren verdoppelt -, aber die Anzahl der tatsächlichen In-the-Wild-Angriffe hat sich in den letzten fünf Jahren halbiert.
Das ist ein Beweis für die Leistungsfähigkeit der Sicherheitsgemeinschaft und für die verbesserten Sicherheitsfunktionen von Microsoft – DEP, ASLR und verbessertes Sandboxing. Diese Technologien gibt es seit Jahren, und sie werden allmählich besser.
Für diejenigen unter Ihnen, die sich in der Gruppe „Patch in Eile, erholen Sie sich in Ruhe“ befinden, unterstützen die Zahlen einfach nicht das Laufwerk, um jeden Patch sofort zu installieren:
In den letzten Jahren sind nur 2% bis 3% der gepatchten Exploits innerhalb von 30 Tagen nach der Verteilung des Patches in einem Exploit zu sehen. Oder wie Miller deutlich macht:
Es ist heute ungewöhnlich, dass ein nicht-nulltägiger Exploit innerhalb von 30 Tagen nach der Verfügbarkeit eines Patches veröffentlicht wird. Mehr noch, die Exploits sind heutzutage auf Null Tage fokussiert.
Die Malware-Welt wird immer anspruchsvoller: Die bösen Jungs gehen für null Tage, nicht für Sicherheitslücken, die bereits gepatcht wurden.
Für die meisten von uns mit Budgets auf weniger als NSA-Niveau können Sie sich grundsätzlich nach vorne beugen und Ihren Hintern zum Abschied küssen. Ein einlösender sozialer Wert: Die wirklich guten Nulltage werden von Ländern und Organisationen mit eigener Agenda gehortet. Du bist ihnen egal.
Mein Takeaway ist derselbe wie seit Jahren: Sie müssen früher oder später patchen, aber es macht überhaupt keinen Sinn, ein Patch durchzuführen, sobald Microsoft etwas aus dem automatischen Update-Rutsche schiebt.