Около 5.5% от идентифицираните уязвимости се използват за извършване на атаки

Екип от изследователи от Virginia Tech, Cyentia и RAND, публикувано резултати от анализ на риска при прилагане на различни стратегии за коригиране на уязвимостта. След проучване на 76 хиляди уязвимости, открити от 2009 до 2018 г., беше разкрито, че само 4183 от тях (5.5%) са били използвани за извършване на реални атаки. Получената цифра е пет пъти по-висока от предишните публикувани прогнози, които оценяват броя на използваемите проблеми на приблизително 1.4%.

Въпреки това не беше открита връзка между публикуването на прототипи на експлойт в публичното пространство и опитите за използване на уязвимостта. От всички факти за използване на уязвимости, известни на изследователите, само в половината от случаите на проблема е прототип на експлойта, публикуван в отворени източници преди това. Липсата на прототип на експлойт не спира нападателите, които при необходимост сами създават експлойти.

Други заключения включват търсенето на експлоатация главно на уязвимости, които имат високо ниво на опасност според класификацията на CVSS. Почти половината от атаките са използвали уязвимости с тегло най-малко 9.

Общият брой на експлойт прототипите, публикувани през разглеждания период, се оценява на 9726. Данните за експлойтите, използвани в проучването, са получени от
колекции Exploit DB, Metasploit, Elliot Kit на D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs и Secureworks CTU.
Информацията за уязвимостите е получена от базата данни NIST NVD (Национална база данни за уязвимости). Оперативните данни са събрани с помощта на информация от FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, OSSIM на Alienvault и ReversingLabs.

Проучването е проведено, за да се определи оптималният баланс между прилагането на актуализации за идентифициране на всякакви уязвимости и елиминирането само на най-опасните проблеми. В първия случай се осигурява висока ефективност на защитата, но са необходими големи ресурси за поддръжка на инфраструктурата, които се изразходват главно за коригиране на маловажни проблеми. Във втория случай има висок риск да пропуснете уязвимост, която може да бъде използвана за атака. Проучването показа, че когато решавате да инсталирате актуализация, която елиминира уязвимост, не трябва да разчитате на липсата на публикуван прототип на експлойт и шансът за експлоатация зависи пряко от нивото на сериозност на уязвимостта.

Източник: opennet.ru