Tîm o ymchwilwyr o Virginia Tech, Cyentia a RAND, canlyniadau dadansoddiad risg wrth gymhwyso amrywiol strategaethau cywiro bregusrwydd. Ar ôl astudio 76 mil o wendidau a ddarganfuwyd rhwng 2009 a 2018, datgelwyd mai dim ond 4183 ohonynt (5.5%) a ddefnyddiwyd i gynnal ymosodiadau go iawn. Mae'r ffigwr canlyniadol bum gwaith yn uwch na'r rhagolygon a gyhoeddwyd yn flaenorol, a amcangyfrifodd fod nifer y problemau y gellir eu hecsbloetio tua 1.4%.
Fodd bynnag, ni chanfuwyd unrhyw gydberthynas rhwng cyhoeddi prototeipiau ecsbloetio yn y parth cyhoeddus ac ymdrechion i fanteisio ar y bregusrwydd. O'r holl ffeithiau am gamfanteisio ar wendidau sy'n hysbys i ymchwilwyr, dim ond mewn hanner yr achosion ar gyfer y broblem oedd prototeip o'r camfanteisio a gyhoeddwyd mewn ffynonellau agored o'r blaen. Nid yw diffyg prototeip ecsbloetio yn atal ymosodwyr, sydd, os oes angen, yn creu campau ar eu pen eu hunain.
Mae casgliadau eraill yn cynnwys y galw am gamfanteisio yn bennaf ar wendidau sydd â lefel uchel o berygl yn ôl dosbarthiad CVSS. Roedd bron i hanner yr ymosodiadau yn defnyddio gwendidau gyda phwysau o 9 o leiaf.
Amcangyfrifwyd bod cyfanswm y prototeipiau ecsbloetio a gyhoeddwyd yn ystod y cyfnod dan sylw yn 9726. Cafwyd y data ar y gorchestion a ddefnyddiwyd yn yr astudiaeth
casgliadau Manteisio ar DB, Metasploit, Pecyn Elliot D2 Security, Fframwaith Camfanteisio ar Gynfas, Contagio, Reversing Labs a Secureworks CTU.
Cafwyd gwybodaeth am wendidau o'r gronfa ddata (Cronfa Ddata Agored i Niwed Cenedlaethol). Mae data gweithredol wedi'i gasglu gan ddefnyddio gwybodaeth gan FortiGuard Labs, Canolfan Storm Rhyngrwyd SANS, CTU Secureworks, OSSIM Alienvault a ReversingLabs.
Cynhaliwyd yr astudiaeth i bennu'r cydbwysedd gorau posibl rhwng cymhwyso diweddariadau i nodi unrhyw wendidau a dileu dim ond y problemau mwyaf peryglus. Yn yr achos cyntaf, sicrheir effeithlonrwydd amddiffyn uchel, ond mae angen adnoddau mawr i gynnal y seilwaith, sy'n cael ei wario'n bennaf ar gywiro problemau dibwys. Yn yr ail achos, mae risg uchel o golli bregusrwydd y gellir ei ddefnyddio ar gyfer ymosodiad. Dangosodd yr astudiaeth, wrth benderfynu gosod diweddariad sy'n dileu bregusrwydd, na ddylech ddibynnu ar ddiffyg prototeip ecsbloetio cyhoeddedig ac mae'r siawns o gamfanteisio yn dibynnu'n uniongyrchol ar ddifrifoldeb y bregusrwydd.
Ffynhonnell: opennet.ru