قام فريق من الباحثين من جامعة فرجينيا للتكنولوجيا، وسينتيا، وراند، نتائج تحليل المخاطر عند تطبيق استراتيجيات تصحيح الثغرات المختلفة. وبعد دراسة 76 ألف نقطة ضعف تم العثور عليها في الفترة من 2009 إلى 2018، تبين أن 4183 منها فقط (5.5%) استخدمت لتنفيذ هجمات حقيقية. والرقم الناتج أعلى بخمس مرات من التوقعات المنشورة سابقاً، والتي قدرت عدد المشاكل القابلة للاستغلال بنحو 1.4%.
ومع ذلك، لم يتم العثور على أي ارتباط بين نشر نماذج استغلال الثغرة الأمنية في المجال العام ومحاولات استغلال الثغرة الأمنية. من بين جميع حقائق استغلال الثغرات الأمنية المعروفة للباحثين، فقط في نصف الحالات الخاصة بالمشكلة كان هناك نموذج أولي للاستغلال تم نشره في مصادر مفتوحة من قبل. إن عدم وجود نموذج أولي لبرمجيات إكسبلويت لا يمنع المهاجمين، الذين، إذا لزم الأمر، يقومون بإنشاء برمجيات إكسبلويت بأنفسهم.
وتشمل الاستنتاجات الأخرى الطلب على استغلال الثغرات بشكل رئيسي والتي تتمتع بدرجة عالية من الخطورة وفقًا لتصنيف CVSS. ما يقرب من نصف الهجمات استخدمت نقاط ضعف يبلغ وزنها 9 على الأقل.
تم تقدير العدد الإجمالي لنماذج برمجيات إكسبلويت المنشورة خلال الفترة قيد المراجعة بـ 9726. تم الحصول على البيانات الخاصة ببرمجيات إكسبلويت المستخدمة في الدراسة من
مجموعات Exploit DB وMetasploit وD2 Security's Elliot Kit وCanvas Exploitation Framework وContagio وReversing Labs وSecureworks CTU.
تم الحصول على معلومات حول نقاط الضعف من قاعدة البيانات (قاعدة بيانات الضعف الوطنية). تم تجميع البيانات التشغيلية باستخدام معلومات من FortiGuard Labs، وSANS Internet Storm Center، وSecureworks CTU، وOSSIM من Alienvault، وReversingLabs.
وقد أجريت الدراسة لتحديد التوازن الأمثل بين تطبيق التحديثات لتحديد أي ثغرات أمنية والقضاء على المشاكل الأكثر خطورة فقط. في الحالة الأولى، يتم ضمان كفاءة حماية عالية، ولكن هناك حاجة إلى موارد كبيرة للحفاظ على البنية التحتية، والتي يتم إنفاقها بشكل أساسي على تصحيح المشكلات غير المهمة. وفي الحالة الثانية، هناك خطر كبير لفقدان ثغرة أمنية يمكن استخدامها لشن هجوم. وأظهرت الدراسة أنه عند اتخاذ قرار بتثبيت تحديث يزيل الثغرة الأمنية، يجب ألا تعتمد على عدم وجود نموذج أولي منشور للاستغلال، وتعتمد فرصة الاستغلال بشكل مباشر على مستوى خطورة الثغرة الأمنية.
المصدر: opennet.ru