Virginia Techin, Cyentian ja RANDin tutkijoiden ryhmä, riskianalyysin tuloksia sovellettaessa erilaisia haavoittuvuuden korjausstrategioita. Tutkittuaan 76 tuhatta vuosina 2009–2018 löydettyä haavoittuvuutta paljastui, että niistä vain 4183 (5.5 %) käytettiin todellisiin hyökkäyksiin. Tuloksena oleva luku on viisi kertaa suurempi kuin aiemmin julkaistut ennusteet, joissa hyödynnettävissä olevien ongelmien määräksi arvioitiin noin 1.4 %.
Korrelaatiota ei kuitenkaan löydetty hyväksikäyttöprototyyppien julkaisemisen ja haavoittuvuuden hyödyntämisyritysten välillä. Kaikista tutkijoiden tiedossa olevista haavoittuvuuksien hyväksikäytöstä vain puolessa tapauksista ongelma oli avoimissa lähteissä julkaistu hyväksikäytön prototyyppi. Hyökkäysprototyypin puute ei estä hyökkääjiä, jotka tarvittaessa luovat hyväksikäyttöjä itse.
Muita johtopäätöksiä ovat tarve hyödyntää lähinnä sellaisia haavoittuvuuksia, jotka ovat CVSS-luokituksen mukaan erittäin vaarallisia. Lähes puolet hyökkäyksistä käytti haavoittuvuuksia, joiden paino oli vähintään 9.
Katsauskaudella julkaistujen hyödyntämisprototyyppien kokonaismääräksi arvioitiin 9726 XNUMX. Tutkimuksessa käytetyt hyödykkeet on saatu mm.
kokoelmat Exploit DB, Metasploit, D2 Securityn Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs ja Secureworks CTU.
Tietoa haavoittuvuuksista saatiin tietokannasta (National Vulnerability Database). Toimintatiedot on koottu FortiGuard Labsin, SANS Internet Storm Centerin, Secureworks CTU:n, Alienvaultin OSSIM:n ja ReversingLabsin tietojen perusteella.
Tutkimus suoritettiin optimaalisen tasapainon määrittämiseksi haavoittuvuuksien tunnistamiseen tähtäävien päivitysten ja vain vaarallisimpien ongelmien poistamisen välillä. Ensimmäisessä tapauksessa varmistetaan korkea suojatehokkuus, mutta infrastruktuurin ylläpito vaatii suuria resursseja, jotka käytetään pääasiassa merkityksettömien ongelmien korjaamiseen. Toisessa tapauksessa on suuri riski puuttua haavoittuvuus, jota voidaan käyttää hyökkäykseen. Tutkimus osoitti, että kun päätät asentaa haavoittuvuuden poistavan päivityksen, sinun ei pitäisi luottaa julkaistun hyväksikäyttöprototyypin puuttumiseen ja hyväksikäytön mahdollisuus riippuu suoraan haavoittuvuuden vakavuusasteesta.
Lähde: opennet.ru