Het is een mooi dilemma: slechts 1 procent van alle kwetsbaarheden in software wordt actief misbruikt. Van de overige 99 procent van de gevonden gaten zal je nooit last hebben. Die worden door hackers genegeerd, want of niet interessant of ze hebben het blijkbaar te druk met andere zaken. Maar wat ga je dan doen? Moet je dan wel alles patchen, ook al is dat blijkbaar niet zo heel erg hard nodig?

Zoeken naar die 1 procent!

Het is opvallend dat Cisco in zijn jaarlijkse rapport over alle IT-bedreigingen stelt dat "organisaties prioriteit moeten geven aan het snel patchen van die 1 procent actief misbruikte kwetsbaarheden", maar zelf in een toelichting stelt bij The Register dat dat advies ietwat kort door de bocht is.

"Dat cijfer kan zowel goed als slecht nieuws zijn", zegt Anthony Stitt, een beveiligingsexpert van Cisco, tegen The Register. "Positief is dat als je kan uitvogelen welke kwetsbaarheden tot die 1 procent behoren, je patchbeleid makkelijk is vorm te geven." Om te vervolgen met: "Als je dat niet kan, kan je net zo goed alles patchen."

Tja. Wie neemt de gok?