A McAfee tanulmánya, melyet az Ipsos Research végzett el, több mint 600 vezető IT döntéshozót vizsgált olyan európai vállalatoknál, amelyek alkalmazottainak létszáma meghaladja a 250 főt. A cél az volt, hogy jobban megértsék a vállalatok javítócsomag- megközelítéseit, az egyik legjelentősebb IT biztonsági kihívást, amellyel a nagyvállalatok szembe kell, hogy nézzenek.

A fontosabb eredmények a következők:

A megkérdezettek több mint negyede (27%) szerint több mint 48 órát vesz igénybe a javítás megjelenését követően, mire az IT infrastruktúrájuk teljes védelmet kap az adott sérülékenységgel szemben. Minden ötödik válaszadó esetében (19%) ez az időtartam meghaladja az egy hetet
Az európai vállalkozások több mint harmada (36%) nem tudja, mennyi javítást alkalmaztak vállalkozásuknál egy 6 hónapos perióduson belül
A megkérdezett IT szakemberek 58%-a nem tudja, hogy a javítások telepítése mennyibe kerül vállalatának
Minden ötödik (20%) IT szakember naponta több, mint egy órát tölt el sérülékenységek és javítások után kutatva
A megkérdezettek 45%-a nem rangsorolja a vállalkozás területeit a javítások szempontjából

A gyorsabb és kifinomultabb IT fenyegetések, valamint az egyre nagyobb és komplexebb IT rendszerek következtében a patch-kezelés komoly gondot jelent sok nagyvállalat számára. Az alatt az idő alatt, míg egy új javítócsomag meg nem jelenik, és azt nem telepítik a szervezeten belül, a vállalkozás sebezhető a biztonsági résekkel, a tömeges üzemszünetekkel és a termelékenység kiesésével szemben, és végső soron elvesztheti ügyfelei bizalmát.

Időigényes folyamat

A patch-ek telepítése bonyolult folyamat, különösen nagyobb vállalatok esetében – több napnyi keresgélést, tesztelést és telepítést jelenthet minden egyes javítócsomagnál. A McAfee tanulmánya feltárja a patch-kezelésre felhasznált erőforrások nagyságát azon megkérdezetteknél, akik napi szinten egy órát meghaladó időtartamot töltenek a patch-ek és a sérülékenységek keresésével. Olaszországban majdnem egyharmaduk (31%) tölt ennyi időt patch-ek keresésével, míg Németországban ez az érték 24%. Európában minden tizedik IT szakember évi szinten 240 órát tölt sérülékenységek felkutatásával, ami 5 munkahétnek felel meg.

A sérülékenység egyre növekvő ablaka

A javítások teljes mértékű telepítése alatt a vállalat nyitva áll a támadások előtt. Európában a megkérdezettek negyede elismerte, hogy a javítás megjelenése és annak teljes mértékű telepítése között eltelt időablak 48 óra, vagy annál is több volt. Minden tizedik (19%) európai vállalatnak több mint egy hétbe kerül a javítások telepítése. A sérülékenységi ablak Franciaországban a legnagyobb, ahol a megkérdezetteknek több mint a negyedénél (27%) egy hétnél is több időt vesz igénybe vállalatuk védelmének biztosítása.

A javítások kezelési költségei

A felmérés azt a meglepő eredményt hozta, hogy sok IT szakember nincs tisztában azzal, hogy hány javítócsomagot is telepítettek, illetve hogy ezek mennyibe kerültek vállalatuknak. A forgalomba hozott patch-ek száma olyan nagy, hogy a megkérdezett európaiaknak több mint a harmada (36%) nem is tudta, mennyi jelent meg belőlük egy hat hónapos periódus alatt, és 58%-uk nem tudta, hogy az eljárás milyen költséget jelent vállalatának. Ez annak ellenére így van, hogy az IDC előrejelzése szerint a patch-kezelés európai piaca eléri a 88 millió dollárt 2010-re.

Ami bizonyos, hogy a legtöbb vállalat úgy látja, hogy több erőforrást kell a javítások kezelésére áldozniuk a jövőben. Több mint felük (54%) mondta azt, hogy többet fognak befektetni ezen a területen a jövőben, a német vállalatokkal az élen, amelyeknek 68%-a tervezi az erőforrások növelését.

A védelem rangsorolása

Az egyre kifinomultabb IT fenyegetések, illetve a korlátozott IT erőforrások miatt a vállalatoknak a valós helyzetet tükröző patch-kezelési stratégiát kell alkalmazniuk. Ennek a megközelítésnek a középpontjában a vállalati kritikus forrásainak meghatározása, valamint ezen források védelmére szolgáló erőforrások rangsorolása kell, hogy álljon. A McAfee tanulmánya szerint az európai vállalatok egyre inkább elfogadják ezt a stratégiát, a megkérdezettek 45%-a üzletük azon területeit helyezi előtérbe, ahol a javításokat először telepíti. A tanulmány szerint azonban a vállalkozások jelentős része nem koncentrálja erőforrásait a kritikus forrásoknak a sérülékenységekkel szembeni védelemre.

A vállalatoknak a rangsorolt patch-kezelést kombinálniuk kellene a proaktív blokkoló megoldásokkal, amelyek megvédhetik a hálózatot mind az ismert, mind az ismeretlen fenyegetésekkel szemben, ezáltal értékes extra időt biztosítva a javítások kutatására és telepítésére.

Megfelelés

A patch-kezelés azért is fontos a vállalkozások számára, mert befolyással lehet a különböző kormányzati szabályozásoknak - mint a Sarbannes Oxley, a HIPPA és a MiFID – való megfelelésükre is. A rendszer legújabb patch-ekkel történő megvédésének kudarca komoly következményekkel járhat ezen szabályozások vonatkozásában. A felmérés szerint Európában a legtöbb szervezet megtette a szükséges lépéseket, a megkérdezettek 82%-a bízik saját patch-kezelési politikájának megfelelőségében.

„A nagyvállalatok visszajelzései egyértelműek – a patch-kezelés komoly gondot okoz nekik” – mondja John Parker, a McAfee EMEA behatolás-megelőzési termékvonalának igazgatója. „A szervezetek azért sebezhetők az IT támadásokkal szemben, mert a biztonsági javítócsomagokat túl gyakran hozzák forgalomba a biztonságos teszteléshez és a szervezet egészében időben történő telepítéséhez. Az egyetlen megoldás a kockázat mérséklésére a rangsorolt patch-kezelés és a proaktív behatolás-megelőző megoldások együttes használata.”