Una squadra di circadori da Virginia Tech, Cyentia è RAND, risultati di l'analisi di risichi quandu si applicà diverse strategie di correzione di vulnerabilità. Dopu avè studiatu 76 mila vulnerabili truvate da u 2009 à u 2018, hè statu revelatu chì solu 4183 d'elli (5.5%) sò stati usati per realizà attacchi veri. A figura risultante hè cinque volte più altu ch'è e previsioni publicate prima, chì stimanu u numeru di prublemi sfruttabili à circa 1.4%.
Tuttavia, nisuna correlazione hè stata trovata trà a publicazione di i prototipi sfruttati in u duminiu publicu è i tentativi di sfruttà a vulnerabilità. Di tutti i fatti di sfruttamentu di vulnerabili cunnisciuti da i circadori, solu in a mità di i casi per u prublema era un prototipu di sfruttamentu publicatu in fonti aperti prima. A mancanza di un prototipu di sfruttamentu ùn impedisce micca l'attaccanti, chì, se ne necessariu, creanu sfruttamenti per sè stessu.
Altre cunclusioni includenu a dumanda di sfruttamentu principalmente di vulnerabili chì anu un altu livellu di periculu secondu a classificazione CVSS. Quasi a mità di l'attacchi anu utilizatu vulnerabili cù un pesu di almenu 9.
U numeru tutale di i prototipi di sfruttamentu publicati durante u periodu sottu rivisione hè statu stimatu à 9726 XNUMX
cullezzione Exploit DB, Metasploit, Kit Elliot di D2 Security, Framework di Sfruttamentu di Canvas, Contagio, Reversing Labs è Secureworks CTU.
L'infurmazione nantu à e vulnerabilità hè stata ottenuta da a basa di dati (Base di dati Naziunale di Vulnerabilità). I dati operativi sò stati compilati cù l'infurmazioni da FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM è ReversingLabs.
U studiu hè statu realizatu per determinà l'equilibriu ottimali trà l'applicazioni di l'aghjurnamenti per identificà ogni vulnerabilità è eliminà solu i prublemi più periculosi. In u primu casu, l'alta efficienza di prutezzione hè assicurata, ma i grandi risorse sò necessarii per mantene l'infrastruttura, chì si spende principarmenti per correggerà i prublemi senza impurtanza. In u sicondu casu, ci hè un altu risicu di manca una vulnerabilità chì pò esse usata per un attaccu. U studiu hà dimustratu chì quandu decide di installà una aghjurnazione chì elimina una vulnerabilità, ùn deve micca cunfidendu a mancanza di un prototipu di sfruttamentu publicatu è a chance di sfruttamentu dipende direttamente da u livellu di gravità di a vulnerabilità.
Source: opennet.ru