Orange Cyberdefense: oplostijd kritieke kwetsbaarheden blijft alarmerend hoog

Veel organisaties slagen er nog steeds niet in om kwetsbaarheden effectief en tijdig op te lossen. Ondanks het groeiende bewustzijn rond cyberdreigingen blijft de gemiddelde oplostijd van kritieke beveiligingsproblemen zorgwekkend hoog. Die conclusie trekt Orange Cyberdefense in het onderzoeksrapport Security Navigator 2025.

Uit het rapport blijkt dat de tijd die nodig is om kwetsbaarheden op te lossen, in 2024 fors is toegenomen:

• Kritieke kwetsbaarheden blijven nu gemiddeld 215 dagen onopgelost, een stijging ten opzichte van 88 dagen in 2023.
• Ernstige problemen blijven gemiddeld 190 dagen openstaan, tegenover 82 dagen in 2023.
• Medium- en low-severity kwetsbaarheden blijven nog langer liggen, met een gemiddelde oplostijd van 247 tot 268 dagen.

Stapelen van kwetsbaarheden

Deze cijfers tonen een alarmerende trend: organisaties slagen er niet in een structureel en proactief beleid te voeren om kwetsbaarheden te beheren. Vooral bedrijven in de retailsector en handel blijken moeite te hebben met het tijdig reageren op kwetsbaarheden. “Het stapelen van oudere kwetsbaarheden verhoogt niet alleen risico’s, maar wijst ook op gebrekkige processen en een gebrek aan prioriteit”, stelt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense.

Het rapport wijst bovendien op een zorgwekkende toename van ernstige problemen in externe systemen, met een toename van gemiddeld 3 naar 11 kwetsbaarheden per systeem. Tegelijkertijd nam het aantal kwetsbaarheden in interne systemen juist af, hoewel problemen met een zogenoemde ‘medium severity’ daar iets vaker voorkomen.

Veelvoorkomende fouten in software

Het rapport gaat ook in op veelvoorkomende fouten in software, met name in Windows 10. Deze fouten komen voort uit onjuist gebruik van het geheugen, een essentieel onderdeel van elk computersysteem.

Het Common Weakness Enumeration (CWE)-systeem classificeert en beschrijft deze kwetsbaarheden om ze beter begrijpelijk en beheersbaar te maken. CWE is een internationale standaard die verschillende soorten programmeerfouten categoriseert. Het helpt ontwikkelaars en beveiligingsexperts bij het identificeren en verhelpen van zwakke plekken in software.

Enkele voorbeelden met hun bijbehorende kwetsbaarheidcode (CWE):

• CWE-707: dit probleem ontstaat wanneer software niet goed omgaat met foutmeldingen of onverwachte gegevens. Hierdoor kan de werking van het programma verstoord worden.
• CWE-787: dit gebeurt wanneer gegevens worden opgeslagen op een plek in het geheugen waar dit niet mag, wat het systeem kan laten crashen.
• CWE-664: software houdt soms niet goed bij welke onderdelen in gebruik zijn. Dit kan leiden tot fouten die het systeem kwetsbaar maken voor aanvallen.
• CWE-416: een bekend probleem waarbij software probeert iets te doen met een geheugenlocatie die al is vrijgegeven, wat ernstige storingen en beveiligingsrisico’s kan veroorzaken.

Als Microsoft alleen de kwetsbaarheden CWE-787 en CWE-416 oplost, zouden bijna 4.000 beveiligingsproblemen verdwijnen. Het aanpakken van bredere categorieën, zoals CWE-707, zou zelfs leiden tot het elimineren van meer dan 13.500 problemen in meerdere Windows-versies.

Oproep tot verandering

Volgens Orange Cyberdefense is een fundamentele verandering in softwareontwikkeling noodzakelijk. “Defensief programmeren, actief fouten opsporen en het gebruik van geheugenveilige programmeertalen zijn geen luxe, maar een noodzaak”, aldus Kollerie. “Zonder deze cultuuromslag blijft de industrie dweilen met de kraan open.”

Een belangrijke stap in het voorkomen van deze problemen is volgens Kollerie bijvoorbeeld het gebruik van geheugenveilige programmeertalen, zoals Rust, Go of Swift. Deze talen zijn speciaal ontworpen om fouten in het geheugenbeheer te voorkomen door programmeurs te ondersteunen met automatische controles en veilige geheugenmodellen. “Door geheugenveilige talen te omarmen, kunnen softwareleveranciers grote vooruitgang boeken in het veilig ontwerpen en ontwikkelen van producten”, aldus Kollerie. “Dit kan een echte gamechanger zijn voor de industrie.”

Lees het volledige rapport

Het Security Navigator 2025-rapport biedt diepgaand inzicht in de uitdagingen van het huidige cybersecuritylandschap. Download het rapport hier.