Säkerhetshål: Vem ska vi tro på?
En fråga som jag har ställt mig på sistone är vilken leverantör som gör den säkraste programvaran? Den leverantör som ”rapporterar” många sårbarheter eller den som inte har ”rapporterat” några alls?
Vi läser om olika säkerhetsföretag som drabbas av incidenter rörande säkerhetshål i deras programvara. Vissa leverantörer förekommer mer regelbundet än andra. Finns det förklaringar till detta eller är det helt enkelt bara tillfälligheter?
För att komma till någon form av svar bör vi dyka ner i incidentrapporterna vilket inte alltid är så lätt då det är stor skillnad mellan hur öppna säkerhetsleverantörerna är med dessa problem eller ej.
Hur ser leverantörens processer kring rapportering ut? Rapporterar leverantören allt dom får information om eller är mörkertalet stort?Vem har hittat alla dessa säkerhetshål, är det leverantörens utvecklingsavdelning eller är det andra aktörer?Hur hanterar tillverkaren nya releaser? Finns tidiga releaser ute för test är sannolikheten större att de innehåller oönskade hål.Hur många produkter har leverantören?
Ett bra exempel på hantering och rapportering har till exempel Fortinet som under 2023 upptäckte över 80% av alla deras rapporterade sårbarheter - vilket tydligt visar en proaktiv, transparent och ansvarsfull sårbarhetsstrategi. Utöver detta har Fortinet en mycket tydlig hantering av releaser av nya programvaror och versioner, vilket gör att kunden kan minimera riskerna.
Oavsett val av leverantör och hur saker rapporteras eller ej är det idag i allra högsta grad viktigt att samtliga verksamheter har någon form arbetssätt och processer runt sårbarheter. Att sårbarheter redan finns i verksamhetens installerade programvaror(¹) det är vi alla medvetna om, de måste därför visualiseras tex genom en sårbarhetscanning. När man väl har en bra överblick gäller det att täppa igen dessa säkerhetshål. Det låter enkelt men det är oftast här de riktigt stora utmaningarna finns, hur vi ska hantera patchning på alla dessa programvaror?
¹ Mjukvarukod innehåller i genomsnitt 6 000 fel per miljon rader kod. Av dessa fel kan ca 5 % utnyttjas, vilket i snitt blir ca tre sårbarheter per 10 000 rader kod.