Ein Forscherteam von Virginia Tech, Cyentia und RAND, Ergebnisse der Risikoanalyse bei der Anwendung verschiedener Strategien zur Schwachstellenkorrektur. Bei der Untersuchung von 76 Schwachstellen, die zwischen 2009 und 2018 gefunden wurden, stellte sich heraus, dass nur 4183 davon (5.5 %) für echte Angriffe genutzt wurden. Die daraus resultierende Zahl ist fünfmal höher als zuvor veröffentlichte Prognosen, die die Zahl der ausnutzbaren Probleme auf etwa 1.4 % schätzten.
Es wurde jedoch kein Zusammenhang zwischen der Veröffentlichung von Exploit-Prototypen im öffentlichen Bereich und Versuchen, die Schwachstelle auszunutzen, festgestellt. Von allen den Forschern bekannten Fakten zur Ausnutzung von Schwachstellen handelte es sich nur in der Hälfte der Fälle um einen Prototyp des Exploits, der zuvor in offenen Quellen veröffentlicht wurde. Das Fehlen eines Exploit-Prototyps hält Angreifer nicht davon ab, bei Bedarf selbst Exploits zu erstellen.
Zu den weiteren Schlussfolgerungen gehört die Notwendigkeit, vor allem Schwachstellen auszunutzen, die gemäß der CVSS-Klassifizierung ein hohes Gefahrenniveau aufweisen. Fast die Hälfte der Angriffe nutzte Schwachstellen mit einer Gewichtung von mindestens 9.
Die Gesamtzahl der im Berichtszeitraum veröffentlichten Exploit-Prototypen wurde auf 9726 geschätzt. Die Daten zu den in der Studie verwendeten Exploits wurden von erhalten
Sammlungen Exploit DB, Metasploit, Elliot Kit von D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs und Secureworks CTU.
Informationen zu Schwachstellen wurden aus der Datenbank abgerufen (Nationale Schwachstellendatenbank). Betriebsdaten wurden unter Verwendung von Informationen von FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvaults OSSIM und ReversingLabs zusammengestellt.
Die Studie wurde durchgeführt, um das optimale Gleichgewicht zwischen der Anwendung von Updates zur Identifizierung etwaiger Schwachstellen und der Beseitigung nur der gefährlichsten Probleme zu ermitteln. Im ersten Fall ist eine hohe Schutzeffizienz gewährleistet, für die Aufrechterhaltung der Infrastruktur sind jedoch große Ressourcen erforderlich, die hauptsächlich für die Behebung unwichtiger Probleme aufgewendet werden. Im zweiten Fall besteht ein hohes Risiko, eine Schwachstelle zu übersehen, die für einen Angriff genutzt werden kann. Die Studie zeigte, dass man sich bei der Entscheidung, ein Update zu installieren, das eine Schwachstelle beseitigt, nicht auf das Fehlen eines veröffentlichten Exploit-Prototyps verlassen sollte und dass die Wahrscheinlichkeit einer Ausnutzung direkt vom Schweregrad der Schwachstelle abhängt.
Source: opennet.ru
