Exploit-voorspeller Microsoft slaat vaak loos alarm
Gepubliceerd: Donderdag 13 november 2008
Auteur: Maarten Hell
De nieuwe Exploitability Index, waarin Microsoft voorspelt welke lekken het gevaarlijkst zijn, zit er in meer dan de helft van de gevallen naast.
Toch is het bedrijf tevreden over de dienst. Vorige maand is Microsoft op Patch Tuesday begonnen met de Exploitability Index, waarmee beheerders beter kunnen bepalen welke patches voorrang verdienen. De verwachte exploits worden hierin ingedeeld in verschillende categorieën, op volgorde van ernstigheid. De voorspellingen gelden de komende 30 dagen of totdat er een nieuwe reeks patches is uitgebracht.
Serieuze bedreigingen
Mike Reavey van het Microsoft Security Research Center (MSRC) is tevreden over het functioneren van de Exploitability Index deze eerste maand. "Vier van de negen door ons aangegeven serieuze bedreigingen zijn ook daadwerkelijk gebruikt. In geen geval hebben we exploits onderschat", aldus Reavey.
Gemeten over alle categorieën was 40 procent van de in de Exploitability Index genoemde lekken in oktober juist voorspeld. De mate van nauwkeurigheid is dus lager dan Microsoft had aangegeven tijdens de testperiode, waarin de Microsoft-index volgens Reavey in 47 procent van de gevallen goed voorspelde. Reavey is echter niet van zijn stuk gebracht door de tegenvallende resultaten van oktober. "Het is belangrijk dat we exploits in de Index niet onderschatten, want dan zouden klanten niet goed weten welke patches zij voorrang moeten geven", zegt Reavey.
Twijfel over nut
John Pescatore, analist van Gartner, is wel overtuigd van het nut om de volgorde van patching te bepalen, maar ziet weinig in deze variant. "Deze index kan nooit accuraat zijn, omdat Microsoft geen methode heeft om exploits te voorspellen", aldus Pescatore. Volgens Pescatore kan Microsoft ook beter de standaardcategorieën van het Common Vulnerability Scoring System (CVSS) gebruiken, in plaats van de eigen criteria.
Andrew Storms van nCircle Network Security vindt het begrijpelijk dat Microsoft liever aan de veilige kant blijft met zijn voorspellingen, maar twijfelt aan het nut van de Exploitability Index. "Het is te vroeg, aangezien de meeste bedrijven zo'n twee maanden achterlopen met de uitrol van hun patches", vindt Storms.
