Het opkomend fenomeen silent patching is een enorm obstakel om cybercrime te bevechten. Helaas wordt het vandaag steeds meer gedaan door leveranciers en cloudproviders.
Trend Micro roept op tot een einde aan silent patching – het vertragen of afzwakken van openbare bekendmaking en documentatie van kwetsbaarheden en patches. Het is een enorm obstakel om cybercrime te bevechten, maar ook een vaak voorkomend verschijnsel bij grote leveranciers en cloudproviders.
Organisaties zien vaker af van het toewijzen van een Common Vulnerability and Exposures (CVE)-ID voor openbare documenten en geven in plaats daarvan privé patches uit. “Het gebrek aan transparantie of versienummers voor cloudservices hindert risico assessments en onthoudt de bredere securitywereld van waardevolle informatie voor het versterken van ecosysteembeveiliging”, aldus Trend Micro.
Incomplete of foute patches
Vorig jaar waarschuwde de securityspecialist al over het groeiende aantal incomplete of foutieve patches en een grotere weerstand bij leveranciers om informatie over patches te leveren in gewone taal. Dit gat is sindsdien alleen maar groter geworden. Sommige organisaties geven zelfs veel minder prioriteit aan patching, wat hun klanten onnodig blootgesteld aan risico’s.
“Er is dringend actie nodig om prioriteit te geven aan patching, kwetsbaarheden aan te pakken en de samenwerking tussen onderzoekers, leveranciers en cloudproviders te bevorderen om cloudgebaseerde services te versterken en gebruikers te beschermen.”