Nu gör Trend Micros Zero Day Initiative policyförändringar för att försöka vända utvecklingen åt rätt håll.
Trend Micro varnar nu för att antalet ofullständiga eller felaktiga patchar växer, och kan kosta företag så mycket som 400 000 amerikanska dollar per uppdatering.
För att adressera denna tydliga försämring i såväl kvaliteten på patchar som leverantörers kommunikation med sina kunder, genomför nu Trend Micros Zero Day Initiative (ZDI) policyändringar för ineffektiva patchar, i ett försök att driva på branschomfattande förbättringar. Från och med nu kommer de 120 dagar en leverantör har på sig att rulla ut en patch för en inrapporterad sårbarhet att kortas för de upptäckta sårbarheter som misstänks ha tagit sig igenom eller rundat en patch.
– ZDI har avslöjat och rapporterat över 10 000 sårbarheter till säkerhetsleverantörer sedan 2005, men vi har aldrig varit så här bekymrade över kvaliteten på patchar, säger Jean Diarbakerli, säkerhetsrådgivare hos Trend Micro.
Leverantörer som släpper otillräckliga patchar, och ofta dessutom med invecklade och förvirrande instruktioner, kostar sina kunder mycket tid och pengar och adderar onödiga risker till en redan svårmanövrerad situation.
Även patchar som är korrekt konstruerade kan indirekt öka riskerna med specifika sårbarheter, då de avslöjar för mycket information om den underliggande sårbarheten, vilket gör det enklare för kriminella att utnyttja den. Är patchen dessutom ofullständig eller felaktig, mångdubblas risken för intrång. Det är inte ovanligt att kostnaderna för patchning av IT-miljön inom medelstora till stora företag överstiger sexsiffriga belopp varje månad. Att behöva patcha samma sårbarhet flera gånger kostar därmed företag massor av tid och pengar, samtidigt som de utsätts för onödiga risker.
