Orange Cyberdefense: oplostijd kritieke kwetsbaarheden blijft alarmerend hoog

  1. 12 mei 2025
  2. 0 reacties

OCD kwetsbaarheden

Veel organisaties slagen er nog steeds niet in om kwetsbaarheden effectief en tijdig op te lossen. Ondanks het groeiende bewustzijn rond cyberdreigingen blijft de gemiddelde oplostijd van kritieke beveiligingsproblemen zorgwekkend hoog. Die conclusie trekt Orange Cyberdefense in het onderzoeksrapport Security Navigator 2025. Uit het rapport blijkt dat de tijd die nodig is om kwetsbaarheden op te lossen, in 2024 fors is toegenomen:

·         Kritieke kwetsbaarheden blijven nu gemiddeld 215 dagen onopgelost, een stijging ten opzichte van 88 dagen in 2023.

·         Ernstige problemen blijven gemiddeld 190 dagen openstaan, tegenover 82 dagen in 2023.

·         Medium- en low-severity kwetsbaarheden blijven nog langer liggen, met een gemiddelde oplostijd van 247 tot 268 dagen. 

 

Stapelen van kwetsbaarheden

Deze cijfers tonen een alarmerende trend: organisaties slagen er niet in een structureel en proactief beleid te voeren om kwetsbaarheden te beheren. Vooral bedrijven in de retailsector en handel blijken moeite te hebben met het tijdig reageren op kwetsbaarheden. “Het stapelen van oudere kwetsbaarheden verhoogt niet alleen risico’s, maar wijst ook op gebrekkige processen en een gebrek aan prioriteit”, stelt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense.

Het rapport wijst bovendien op een zorgwekkende toename van ernstige problemen in externe systemen, met een toename van gemiddeld 3 naar 11 kwetsbaarheden per systeem. Tegelijkertijd nam het aantal kwetsbaarheden in interne systemen juist af, hoewel problemen met een zogenoemde ‘medium severity’ daar iets vaker voorkomen.

Veelvoorkomende fouten in software

Het rapport gaat ook in op veelvoorkomende fouten in software, met name in Windows 10. Deze fouten komen voort uit onjuist gebruik van het geheugen, een essentieel onderdeel van elk computersysteem.

Het Common Weakness Enumeration (CWE)-systeem classificeert en beschrijft deze kwetsbaarheden om ze beter begrijpelijk en beheersbaar te maken. CWE is een internationale standaard die verschillende soorten programmeerfouten categoriseert. Het helpt ontwikkelaars en beveiligingsexperts bij het identificeren en verhelpen van zwakke plekken in software.

Enkele voorbeelden met hun bijbehorende kwetsbaarheidcode (CWE):

·         CWE-707: Dit probleem ontstaat wanneer software niet goed omgaat met foutmeldingen of onverwachte gegevens. Hierdoor kan de werking van het programma verstoord worden.

·         CWE-787: Dit gebeurt wanneer gegevens worden opgeslagen op een plek in het geheugen waar dit niet mag, wat het systeem kan laten crashen.

·         CWE-664: Software houdt soms niet goed bij welke onderdelen in gebruik zijn. Dit kan leiden tot fouten die het systeem kwetsbaar maken voor aanvallen.

·         CWE-416: Een bekend probleem waarbij software probeert iets te doen met een geheugenlocatie die al is vrijgegeven, wat ernstige storingen en beveiligingsrisico’s kan veroorzaken.

Als Microsoft alleen de kwetsbaarheden CWE-787 en CWE-416 oplost, zouden bijna 4.000 beveiligingsproblemen verdwijnen. Het aanpakken van bredere categorieën, zoals CWE-707, zou zelfs leiden tot het elimineren van meer dan 13.500 problemen in meerdere Windows-versies.

Oproep tot verandering

Volgens Orange Cyberdefense is een fundamentele verandering in softwareontwikkeling noodzakelijk. “Defensief programmeren, actief fouten opsporen en het gebruik van geheugenveilige programmeertalen zijn geen luxe, maar een noodzaak”, aldus Kollerie. “Zonder deze cultuuromslag blijft de industrie dweilen met de kraan open.”

Een belangrijke stap in het voorkomen van deze problemen is volgens Kollerie bijvoorbeeld het gebruik van geheugenveilige programmeertalen, zoals Rust, Go of Swift. Deze talen zijn speciaal ontworpen om fouten in het geheugenbeheer te voorkomen door programmeurs te ondersteunen met automatische controles en veilige geheugenmodellen. “Door geheugenveilige talen te omarmen, kunnen softwareleveranciers grote vooruitgang boeken in het veilig ontwerpen en ontwikkelen van producten”, aldus Kollerie. “Dit kan een echte gamechanger zijn voor de industrie.”

Lees het volledige rapport
Het Security Navigator 2025-rapport biedt diepgaand inzicht in de uitdagingen van het huidige cybersecuritylandschap. Download het rapport hier.

Meer over
Lees ook
Proofpoint voltooit overname van Hornetsecurity

Proofpoint voltooit overname van Hornetsecurity

Proofpoint, Inc. maakt bekend dat het de overname van Hornetsecurity Group heeft voltooid. Hornetsecurity is een toonaangevende, pan-Europese aanbieder van AI-aangedreven Microsoft 365 (M365) security, databescherming, compliance en security awareness services voor managed service providers (MSP’s) en midden- en kleinbedrijven (mkb’s).

Fortinet voorspelt voor 2026: agentic AI zal cybercriminaliteit industrialiseren

Fortinet voorspelt voor 2026: agentic AI zal cybercriminaliteit industrialiseren

Het rapport laat zien dat er nu een keerpunt is in deze ontwikkeling. Cybercriminaliteit wordt een georganiseerde industrie die op automatisering, specialisatie en artificial intelligence draait. Fortinet signaleert vier trends voor 2026

Orange Cyberdefense: cybercrime ondermijnt samenlevingen en wordt geopolitiek machtsmiddel

Orange Cyberdefense: cybercrime ondermijnt samenlevingen en wordt geopolitiek machtsmiddel

De Security Navigator 2026, het nieuwste onderzoeksrapport van Orange Cyberdefense, toont hoe deze ontwikkeling het digitale domein uiteendrijft in concurrerende machtsblokken. Voor deze editie analyseerden onderzoekers onder meer ruim 139.000 security-incidenten tussen oktober 2024 en september 2025.