Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Google: consument huiverig voor beveiligingsupdates

donderdag 23 juli 2015, 12:28 door Redactie, 12 reacties

Doorsnee internetgebruikers zijn huiverig voor beveiligingsupdates en beschouwen dit zelfs ten onrechte als een beveiligingsrisico, zo blijkt uit onderzoek (pdf) van Google. De internetgigant besloot het securitygedrag van 231 beveiligingsexperts en 294 internetgebruikers die geen expert zijn te vergelijken.

Zo werd er onder andere naar de top 5 beveiligingsmaatregelen gekeken die beide groepen nemen. Daaruit blijkt dat doorsnee internetgebruikers het belang van beveiligingsupdates ernstig onderschatten. 35% van de experts noemt het installeren van beveiligingsupdates als beveiligingsmaatregel, terwijl slechts 2% van de gebruikers dit doet. Daardoor is het installeren van patches de beveiligingsmaatregel met het grootste verschil tussen gebruikers en experts.

Verder onderzoek naar dit gedrag wijst uit dat 39% van de experts updates automatisch laat installeren, terwijl dit bij gebruikers 29% is. Daarnaast zegt 25% van de experts dat updates direct worden geïnstalleerd. Bij de gebruikers wordt dit door slechts 9% gedaan. Volgens de onderzoekers heeft het niet tijdig installeren van updates mogelijk te maken met slechte ervaringen uit het verleden of dat gebruikers de effectiviteit ervan niet beseffen.

Wachtwoorden

Het onderzoek laat verder zien dat wachtwoordbeheer belangrijk is voor zowel gebruikers als experts, maar er verschillende aanpakken worden gehanteerd. De experts maken veel gebruik van wachtwoordmanagers. Het verschil tussen experts en gebruikers bedraagt een factor drie. 24% van de gebruikers zegt voor sommige accounts een wachtwoordmanager te gebruiken, terwijl dit bij de experts 73% is. Verder vinden gebruikers anti-virussoftware erg belangrijk, terwijl experts de voorkeur aan andere maatregelen geven.

"Onze resultaten laten zien dat experts en niet-experts verschillende maatregelen nemen om zichzelf op internet te beschermen. De maatregelen van de experts worden door experts als goed advies beschouwd, terwijl de maatregelen van de niet-experts gemengde reacties van experts krijgen", aldus de onderzoekers. Die stellen dat er ruimte voor verbetering is als het gaat om het vaststellen van de belangrijkste beveiligingsmaatregelen en om dit vervolgens aan eindgebruikers duidelijk te maken.

Image

Rabobank vond phishingslachtoffer grof nalatig
Vier zero day-lekken in Internet Explorer Mobile onthuld
Reacties (12)
23-07-2015, 13:33 door Anoniem
Die mensen ken ik ook, die hun systemen en software niet willen updaten. Soms door een nare ervaring in het verleden waarbij het mis ging (al dan niet hun eigen schuld) en nu dus huiverig zijn. Persoonlijk check ik elke dag voor updates onder Linux en Windows (Patch my PC is perfect om je software bij te houden) en dan instaleren.

De mensen die dit niet durven of doen zijn ook vaak de mensen (lees windows gebruikers) die altijd problemen met hun computers hebben.
23-07-2015, 13:35 door Anoniem
Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.
23-07-2015, 13:35 door Anoniem
"35% van de experts noemt het installeren van beveiligingsupdates als beveiligingsmaatregel"

Blijft een droevig getal. Dit zou toch ondertussen 99% moeten zijn?? Anders ben je in mijn ogen geen expert.
23-07-2015, 13:45 door B3am
Er is blijkbaar nog een lange weg te gaan.

"Ik heb een anti-virus programma, dus wat kan mij gebeuren...".

Nee, dan toch liever 3x in de week patchen.
23-07-2015, 14:16 door Anoniem
Door Anoniem: Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.

Je redenatie is een grote drog reden. Ook op een volledig gepatched systeem zijn inderdaad wel lekken te vinden, maar alle bekende lekken, waar de hacking tools die 95% van de wereld gebruiken, gebruik van maken, zijn wel dicht.

Security experts weten dat ze altijd een gevaar lopen, dat niks 100% is.. maar ze weten ook wat de stappen zijn die je zo min mogelijk risico laten lopen. En je systeem patchen is inderdaad nummer 1.
23-07-2015, 15:22 door dutchfish
Ik test iedere patch vooraf, daarna wordt hij 'gescheduled'. De meeste patches worden door mij binnen 24 uur of sneller doorgevoerd waarbij ik de volgende zaken in acht neem:
- Is de patch een security fix? Zo ja, dan asap of meteen.
- Is die patch een roll up dan krijgt hij een lagere prioriteit, tenzij functionaliteits-stoornissen bekend zijn die hiermee worden verholpen.
- Een actief misbruikte patch 'in the wild' krijgt voorrang.
- Geen enkele patch gaat automatisch, patches doorvoeren is handwerk en vooral doordacht maatwerk. Dus bijvoorbeeld orca gebruiken om patches aan te passen aan je company policy.
- Er wordt nooit een patch doorgevoerd als de betrokken productie machine geen goede backup status heeft.
- Lezen en nog meer lezen, Vooral alle CVE's.
- Wel gecentraliseerd downloaden maar niet doorvoeren is een prima strategie. Dus een manual aproval, altijd.

Hiermede heb ik veel ellende en frustratie voorkomen. Ja, ik ben dus een grote voorstander van SNEL patchen. Een blooper van een leverancier haal je er in 99% van de gevallen eruit in je test setups.

Mijn 2 centen
23-07-2015, 15:48 door Eric-Jan H te D
automatisch patchen is in een aantal gevallen onwenselijk.
- de laptop draait op accu
- de laptop hangt aan een open WiFi
- een ongestoorde werking is op sommige momenten een absolute noodzaak.

Kies daarom je patchwindow bewust
23-07-2015, 16:20 door Anoniem
Door Anoniem: Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.

"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"
23-07-2015, 17:59 door Anoniem
Ik draai Windows in een "sandbox" en start op zonder internetverbinding.

Mijn gegevens staan op een externe HD die ik alleen aansluit als het internet uitstaat en niet aan is geweest, zo nodig start ik de computer opnieuw.

Geen automatische updates en geen realtime (virus)scans.
Veilig? waarschijnlijk niet maar onveiliger dan wel updates en scans en de gegevens op de systeemschijf dat denk ik niet.

Op mijn andere, snellere computer, draai ik Linux met updates en een virtuele Windows zonder updates en scans.
De virtuele Windows start ik altijd vanuit een schoon snapshot en de gegevens haal ik op of schrijf ik weg naar de eerder genoemde externe HD die ik zelfs hier alleen aansluit als het internet uitstaat en niet aan is geweest.

Misschien overdreven maar ik heb hierbij veel meer het gevoel de ellende zelf in de hand te hebben i.p.v. over te laten aan anderen zonder daar enige controle op te hebben.
23-07-2015, 18:05 door Anoniem
ik ' check ' elke dag op updates voor mijn linuxserver, en mijn laptop met linux

Als ik windows gebruikte had ik op dezelfde manier gedaan.

Updates zijn erg belangrijk voor je systeem.
24-07-2015, 10:21 door Anoniem
Door Anoniem:
"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"

Voor de bühne geeft de politie het advies om je deur met 3 sloten op slot te doen, maar ze weten ook wel dat de
inbrekers tegenwoordig gewoon de ruiten inslaan.

Dat wil niet zeggen dat het niet slim is om altijd je deur op slot te doen, maar dit artikel heeft de aire dat het installeren
van alle beveiligings updates je op de een of andere manier beschermt, en dat is natuurlijk onzin. Je bent bezig om te
controleren of de rits van je tent wel dicht is, terwijl iedere camping inbreker een mes heeft.
24-07-2015, 15:55 door Anoniem
Beheerders die zo zomaar alle updates installeren wanneer ze uitkomen mag je best dom of roekeloos noemen.

Updates introduceren namelijk ook nieuwe zero days terwijl bij een bekend lek men weet wat de aanvalsvector is; afhankelijk van de impact ga je dan een workaround regelen of de update testen en zelfs zijn gedrag analyseren om het vervolgens al dan niet te installeren in productie. Soms is de update niet eens van toepassing in een specifieke configuratie. Hem wel installeren is dan alleen maar extra risico.

Zeker nu vaak updates defect blijken lijkt het me handig je te verdiepen in updates. Voorbeeld, een update specifiek voor MS office 2010 hoef je echt niet te installeren op een systeem waar alleen office XP op staat, ook al is deze als important aangemerkt. Het is een ander verhaal als het om een gedeeld component van office gaat.

Daarom, eerst onderzoeken en dan pas toepassen, niet gaan roepen dat updaten altijd moet. Het hele update verhaal geeft net als antivirus een vals gevoel van veiligheid. Mensen denken dat ze met updates en AV veilig zijn. Dat is helaas niet zo.

Grote bedrijven willen dat mensen dit geloven; hoe sneller mensen updates installeren, hoe sneller ze wijzigingen in hun software kunnen doorvoeren. Wijzigingen die soms ook nadelig kunnen zijn, bijvoorbeeld de support voor een bestandsformaat verwijderen of een tijdslimiet voor gebruik introduceren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 350
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter