Oggi è stato rilasciato il quarto Microsoft Security Response Center (MSRC) Progress Report. Questo rapporto evidenza il progresso di varie iniziative di information sharing di Microsoft, che incoraggiono la collaborazione nell'industria della sicurezza, aumentano le difese basate sulla community e proteggono in modo migliore gli utenti.

Questo nuovo rapporto fornisce informazioni riguardo:

  • Statistiche relative ai Microsoft Security Bulletin dell'ultimo anno
  • Dietro le quinte di un bollettino out-of-band
  • Progresso annuale di iniziative quali Microsoft Active Protections Program (MAPP), Microsoft Exploitability Index e Microsoft Vulnerability Research (MSVR)
  • Il BlueHat Prize, annunciato lo scorso anno
  • I risultati di uno studio sull'efficacia dell'Enhanced Mitigation Experience Toolkit (EMET)

Alcuni punti cardine del rapporto:

Durante i 12 mesi antecedenti a Giugno 2012, Microsoft ha rilasciato 90 bollettini di sicurezza, risolvendo 203 vulnerabilità singole.

Delle vulnerabilità risolte da Microsoft da Luglio 2011 a Giugno 2012, il 50% permetterebbe di eseguire codice da remoto, contro il 62.8% dello scorso periodo.

I 90 bollettini di sicurezza pubblicati da Luglio 2011 a Giugno 2012 hanno un Exploitability Index totale di 190.

Un'analisi dei diversi deployment scenario evidenzia come l'Exploitability Index aiuti le aziende a mitigare i costi e permetta loro di allocare le risorse in maniera più efficace.

Da Luglio 2011, il programma Microsoft Vulnerability Research ha identificato e pubblicato in maniera coordinata 96 vulnerabilità software, collaborando con un totale di 39 vendor.

L'utilizzo della Coordinated Vulnerability Disclosure (CVD) è aumentato fino a stabilire un nuovo record durante il periodo da Luglio 2011 a Giugno 2012. Delle vulnerabilità risolte da Microsoft, il 91% sono state riportate tramite CVD, contro l'84% dello scorso periodo.

Il report contiene altre informazioni utili: se siete curiosi di avere tutte le statistiche, leggere cosa succede durante un rilascio out-of-band o avere informazioni sull'efficacia di EMET, vi consiglio di scaricare il report completo.

Gerardo Di Giacomo
Security Program Manager - MSRC