Svake spådommer fra Microsoft

Svake spådommer fra Microsoft

It-sjefer kan heller kaste mynt enn å stole på Microsofts hackerindeks.

Microsoft ønsker å veilede sine kunder om hvilke svakheter som først må lappes. Sammen med de månedlige sikkerhetsoppdateringene har derfor selskapet kommet med spådommer om hvor sannsynlig det er at feilene i programvaren vil bli utnyttet. Det går ikke så bra. Ifølge nye tall har Microsoft rett i kun 27 prosent av tilfellene.

- Det er mye dårligere enn å kaste mynt. Hva er poenget med dette?, spør Andrew Storms i sikkerhetsselskapet Ncircle Network Security til Computerworlds nyhetstjeneste.

Rekkefølge

Denne utnyttelsesindeksen (exploitability index) har eksistert siden oktober 2008 og skal vurdere risikoen at en svakhet blir utnyttet på en skala fra 1 til 3. Tallet ”1” viser til at det er sannsynlig at svakheten blir utnyttet i løpet av de neste 30 dagene etter oppdagelsen publiseres, kode 3 betyr at det ikke er sannsynlig.

Før indeksen leverte Microsoft en rating på hvor alvorlige svakhetene var, i "kritisk", "viktig", "moderat" og "lav" risiko. Men denne inndelingen fortalte ikke mye om hvilke svakheter som bør tas først.

Kode 1

Med en treffprosent på bare 27 prosent har imidlertid utnyttelsesindeksen vært et ubrukelig verktøy for it-sjefene.

- Av de 41 svakheter som fikk "kode 1", og var forventet å bli utnyttet de første 30 dagene, var det bare 11 som faktisk ble utnyttet innen en måned, skriver Microsoft selv i sin rapport over de første seks månedene i 2009.

Likevel har selskapet fremdeles tro på sine spådommer, og argumenterer for at det som er usynlig ikke nødvendigvis ikke eksisterer.

- Mangel på publiserte utnyttelser betyr ikke at ratingen i seg selv er feil, skriver en talsmann for selskapet i en epost.

"Sikre spådommer"

Selskapet har selv beregnet antallet riktige spådommer med utgangspunkt i antall svakheter med kode 1 som i tillegg er kritiske. Da havner Microsofts spådommer på 55 prosent riktige treff, fremdeles knapt nok bedre enn et myntkast.

Men selskapet har enda et argument for å forsvare de dårlige resultatene. Kodingen er nemlig basert på "sikre spådommer".

- En høyere falsk positiv rating for kritiske svakheter kan skyldes den konservative tilnærmingen som er brukt i prosessen for å sikre den høyeste brukerbeskyttelsen ved de mer alvorlige svakhetene, skriver Microsoft.

For de som ønsker å finne ut mer om Microsofts Exploitability Index, klikk her.

Les om: