Un equip d'investigadors de Virginia Tech, Cyentia i RAND, resultats de l'anàlisi de riscos en aplicar diverses estratègies de correcció de vulnerabilitats. Després d'estudiar 76 mil vulnerabilitats trobades entre 2009 i 2018, es va revelar que només 4183 d'elles (5.5%) van ser utilitzades per dur a terme atacs reals. La xifra resultant és cinc vegades superior a les previsions publicades anteriorment, que estimaven el nombre de problemes explotables en aproximadament un 1.4%.
Tanmateix, no es va trobar cap correlació entre la publicació de prototips d'explotació en el domini públic i els intents d'explotar la vulnerabilitat. De tots els fets d'explotació de vulnerabilitats coneguts pels investigadors, només en la meitat dels casos del problema hi havia un prototip de l'explotació publicat abans en fonts obertes. La manca d'un prototip d'explotació no impedeix als atacants, que, si cal, creen exploits pel seu compte.
Altres conclusions inclouen la demanda d'explotació principalment de vulnerabilitats que presenten un alt nivell de perillositat segons la classificació CVSS. Gairebé la meitat dels atacs van utilitzar vulnerabilitats amb un pes d'almenys 9.
El nombre total de prototips d'explotació publicats durant el període de revisió es va estimar en 9726. Les dades sobre les explotacions utilitzades en l'estudi es van obtenir
col·leccions Exploit DB, Metasploit, Elliot Kit de D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs i Secureworks CTU.
La informació sobre vulnerabilitats es va obtenir de la base de dades (Base de dades nacional de vulnerabilitats). Les dades operatives s'han recopilat utilitzant informació de FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM i ReversingLabs.
L'estudi es va dur a terme per determinar l'equilibri òptim entre aplicar actualitzacions per identificar qualsevol vulnerabilitat i eliminar només els problemes més perillosos. En el primer cas, s'assegura una alta eficiència de protecció, però es necessiten grans recursos per mantenir la infraestructura, que es destinen principalment a corregir problemes sense importància. En el segon cas, hi ha un alt risc de perdre una vulnerabilitat que es pot utilitzar per a un atac. L'estudi va demostrar que quan es decideix instal·lar una actualització que elimina una vulnerabilitat, no s'ha de confiar en la manca d'un prototip d'explotació publicat i la possibilitat d'explotació depèn directament del nivell de gravetat de la vulnerabilitat.
Font: opennet.ru