Bedrijven hebben gemiddeld tussen de 100 en 120 dagen nodig om patches voor beveiligingslekken te installeren, waardoor ze geruime tijd kwetsbaar voor aanvallers zijn. Sommige kwetsbaarheden worden echter nooit gepatcht. Dat blijkt uit onderzoek (pdf) van Kenna Security onder 50.000 bedrijven.

Terwijl bedrijven tussen de 100 en 120 dagen nodig hebben om beschikbare beveiligingsupdates uit te rollen, blijkt dat aanvallers veel sneller opereren. De meeste kwetsbaarheden worden namelijk in de eerste 60 dagen sinds het verschijnen van de patch aangevallen. Tussen de 40 en 60 dagen is er een kans van 90% dat een kwetsbaarheid wordt aangevallen.

De onderzoekers stellen dat in het geval van ongepatchte kwetsbaarheden die worden aangevallen het vaak om zeer bekende en oude lekken gaat waarvoor patches al lange tijd beschikbaar zijn, maar die niet door organisaties zijn geïnstalleerd. "Bij het evalueren van de data kwamen we dit keer op keer tegen", zo laten ze weten. Zo werden er vorig jaar 121.000 succesvolle aanvallen op een lek in phpMyAdmin gemeten dat in 2010 al was gepatcht. Een ander voorbeeld is het lek dat de Slammer-worm gebruikt. Deze kwetsbaarheid dateert van 2002, maar vorig jaar vonden er nog 156.000 succesvolle aanvallen via de kwetsbaarheid plaats.