Un equipo de investigadores de Virginia Tech, Cyentia y RAND, resultados del análisis de riesgos al aplicar diversas estrategias para la remediación de vulnerabilidades. Luego de estudiar 76 mil vulnerabilidades encontradas entre 2009 y 2018, se reveló que solo 4183 de ellas (5.5%) fueron utilizadas para realizar ataques reales. La cifra resultante es cinco veces superior a las previsiones publicadas anteriormente, en las que el número de problemas explotados se estimaba en torno al 1.4%.
Al mismo tiempo, no se encontró correlación entre la publicación de prototipos de explotación en el dominio público y los intentos de explotación de la vulnerabilidad. De todos los hechos de explotación de vulnerabilidades conocidos por los investigadores, solo en la mitad de los casos por un problema antes de que se publicara un prototipo del exploit en fuentes abiertas. La ausencia de un prototipo de exploit no impide que los atacantes creen exploits por su cuenta si es necesario.
De otras conclusiones, se puede notar la demanda de explotación principalmente de vulnerabilidades que tienen un alto nivel de peligrosidad según la clasificación CVSS. Casi la mitad de los ataques utilizaron vulnerabilidades con un peso de al menos 9.
El número total de prototipos de exploits publicados durante el período bajo revisión se estimó en 9726. Los datos de exploits utilizados en el estudio se obtuvieron de
Aprovecha las colecciones de DB, Metasploit, Elliot Kit de D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs y Secureworks CTU.
La información sobre vulnerabilidades se obtuvo de la base de datos. (Base de Datos Nacional de Vulnerabilidad). Los datos de explotación se han resumido en función de la información de FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM y ReversingLabs.
El estudio se realizó para determinar el equilibrio óptimo entre la aplicación de actualizaciones cuando se identifican vulnerabilidades y la solución solo de los problemas más peligrosos. En el primer caso, se proporciona una alta eficiencia de protección, pero se requieren grandes recursos de mantenimiento de infraestructura, que se gastan principalmente en solucionar problemas menores. En el segundo caso, existe un alto riesgo de perder una vulnerabilidad que puede usarse para atacar. El estudio mostró que al decidir si instalar una actualización para corregir una vulnerabilidad, uno no debe confiar en la ausencia de un prototipo de explotación publicado, y la posibilidad de explotación depende directamente del nivel de gravedad de la vulnerabilidad.
Fuente: opennet.ru