Tim istraživača sa Virginia Tech, Cyentia i RAND, rezultate analize rizika pri primeni različitih strategija korekcije ranjivosti. Nakon proučavanja 76 hiljada ranjivosti pronađenih od 2009. do 2018. godine, otkriveno je da je samo njih 4183 (5.5%) korišteno za izvođenje stvarnih napada. Dobivena cifra je pet puta veća od ranije objavljenih prognoza, koje procjenjuju broj iskorištavanih problema na otprilike 1.4%.
Međutim, nije pronađena nikakva korelacija između objavljivanja prototipova eksploatacije u javnom domenu i pokušaja iskorištavanja ranjivosti. Od svih činjenica o eksploataciji ranjivosti poznatih istraživačima, samo u polovini slučajeva za problem je prototip eksploatacije ranije objavljen u otvorenim izvorima. Nedostatak prototipa eksploatacije ne zaustavlja napadače, koji po potrebi sami kreiraju exploit.
Ostali zaključci uključuju potražnju za eksploatacijom uglavnom ranjivosti koje imaju visok nivo opasnosti prema CVSS klasifikaciji. Gotovo polovina napada koristila je ranjivosti s težinom od najmanje 9.
Ukupan broj eksploatskih prototipova objavljenih u posmatranom periodu procijenjen je na 9726. Podaci o eksploataciji korištenim u studiji su dobijeni iz
kolekcije Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs i Secureworks CTU.
Informacije o ranjivosti su dobijene iz baze podataka (Nacionalna baza podataka o ranjivosti). Operativni podaci su sastavljeni korišćenjem informacija iz FortiGuard Labs, SANS Internet Storm Centra, Secureworks CTU, Alienvault-ovog OSSIM-a i ReversingLabs-a.
Studija je provedena kako bi se utvrdila optimalna ravnoteža između primjene ažuriranja za identifikaciju svih ranjivosti i eliminacije samo najopasnijih problema. U prvom slučaju je osigurana visoka efikasnost zaštite, ali su za održavanje infrastrukture potrebna velika sredstva koja se troše uglavnom na otklanjanje nevažnih problema. U drugom slučaju postoji veliki rizik da se propusti ranjivost koja se može iskoristiti za napad. Studija je pokazala da kada odlučite da instalirate ažuriranje koje eliminiše ranjivost, ne biste se trebali oslanjati na nedostatak objavljenog prototipa eksploatacije, a šansa za eksploataciju direktno zavisi od nivoa ozbiljnosti ranjivosti.
izvor: opennet.ru