Tým výzkumníků z Virginia Tech, Cyentia a RAND, výsledky analýzy rizik při aplikaci různých strategií pro nápravu zranitelností. Po prostudování 76 tisíc zranitelností nalezených v letech 2009 až 2018 se ukázalo, že pouze 4183 z nich (5.5 %) bylo použito k provedení skutečných útoků. Výsledné číslo je pětkrát vyšší než dříve publikované prognózy, ve kterých byl počet zneužitých problémů odhadován na cca 1.4 %.
Zároveň nebyla nalezena žádná korelace mezi zveřejněním prototypů exploitů ve veřejné doméně a pokusy o zneužití zranitelnosti. Ze všech faktů o zneužití zranitelností známých výzkumníkům byl pouze v polovině případů pro problém dříve publikován prototyp zneužití v otevřených zdrojích. Absence prototypu exploitu nebrání útočníkům, aby v případě potřeby sami vytvořili exploity.
Z dalších závěrů lze zaznamenat poptávku po využívání především zranitelností, které mají podle klasifikace CVSS vysokou míru nebezpečnosti. Téměř polovina útoků používala zranitelnosti s váhou alespoň 9.
Celkový počet prototypů exploitů publikovaných během sledovaného období byl odhadnut na 9726. Data o využití použitá ve studii byla získána z
Exploit kolekce DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs a Secureworks CTU.
Informace o zranitelnostech byly získány z databáze (Národní databáze zranitelností). Údaje o využívání byly shrnuty na základě informací z laboratoří FortiGuard, SANS Internet Storm Center, Secureworks CTU, OSSIM společnosti Alienvault a ReversingLabs.
Studie byla provedena s cílem určit optimální rovnováhu mezi aplikací aktualizací, když jsou identifikovány jakékoli zranitelnosti, a opravou pouze nejnebezpečnějších problémů. V prvním případě je zajištěna vysoká účinnost ochrany, ale jsou vyžadovány velké prostředky na údržbu infrastruktury, které se vynakládají hlavně na řešení menších problémů. Ve druhém případě je vysoké riziko, že chybí zranitelnost, kterou lze použít k útoku. Studie ukázala, že při rozhodování, zda nainstalovat aktualizaci pro opravu zranitelnosti, by se nemělo spoléhat na absenci zveřejněného prototypu exploitu a šance na zneužití přímo závisí na úrovni závažnosti zranitelnosti.
Zdroj: opennet.ru