Un equipo de investigadores de Virginia Tech, Cyentia e RAND, resultados da análise de risco ao aplicar diversas estratexias de corrección da vulnerabilidade. Despois de estudar 76 mil vulnerabilidades atopadas entre 2009 e 2018, revelouse que só 4183 delas (5.5%) foron utilizadas para realizar ataques reais. A cifra resultante é cinco veces superior ás previsións publicadas anteriormente, que estimaban o número de problemas explotables en aproximadamente un 1.4%.
Non obstante, non se atopou ningunha correlación entre a publicación de prototipos de exploit no dominio público e os intentos de explotar a vulnerabilidade. De todos os feitos de explotación de vulnerabilidades coñecidos polos investigadores, só na metade dos casos para o problema era un prototipo do exploit publicado anteriormente en fontes abertas. A falta dun prototipo de exploit non impide aos atacantes, que, se é necesario, crean exploits por si mesmos.
Outras conclusións inclúen a demanda de explotación principalmente de vulnerabilidades que presentan un alto nivel de perigo segundo a clasificación CVSS. Case a metade dos ataques utilizaron vulnerabilidades cun peso de polo menos 9.
O número total de prototipos de exploit publicados durante o período analizado estimouse en 9726. Os datos sobre os exploits utilizados no estudo foron obtidos
coleccións Exploit DB, Metasploit, Elliot Kit de D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs e Secureworks CTU.
Obtívose información sobre vulnerabilidades da base de datos (Base de Datos Nacional de Vulnerabilidade). Os datos operativos recompiláronse utilizando información de FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM e ReversingLabs.
O estudo realizouse para determinar o equilibrio óptimo entre aplicar actualizacións para identificar as vulnerabilidades e eliminar só os problemas máis perigosos. No primeiro caso, garante unha alta eficiencia de protección, pero son necesarios grandes recursos para manter a infraestrutura, que se gastan principalmente en corrixir problemas sen importancia. No segundo caso, existe un alto risco de perder unha vulnerabilidade que se pode utilizar para un ataque. O estudo demostrou que cando se decide instalar unha actualización que elimine unha vulnerabilidade, non se debe confiar na falta dun prototipo de exploit publicado e as posibilidades de explotación dependen directamente do nivel de gravidade da vulnerabilidade.
Fonte: opennet.ru