Tim istraživača iz Virginia Tech, Cyentia i RAND,
Međutim, nije pronađena nikakva korelacija između objavljivanja prototipova exploita u javnoj domeni i pokušaja iskorištavanja ranjivosti. Od svih činjenica o iskorištavanju ranjivosti koje su poznate istraživačima, samo je u polovici slučajeva problema prototip exploit-a prethodno objavljen u otvorenim izvorima. Nedostatak prototipa exploita ne zaustavlja napadače, koji, ako je potrebno, sami stvaraju exploite.
Ostali zaključci uključuju zahtjev za iskorištavanjem uglavnom ranjivosti koje imaju visoku razinu opasnosti prema CVSS klasifikaciji. Gotovo polovica napada koristila je ranjivosti s težinom od najmanje 9.
Ukupan broj prototipova exploit-a objavljenih tijekom promatranog razdoblja procijenjen je na 9726. Podaci o exploit-ima korištenim u studiji dobiveni su iz
kolekcije Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs i Secureworks CTU.
Podaci o ranjivostima dobiveni su iz baze podataka
Studija je provedena kako bi se utvrdila optimalna ravnoteža između primjene ažuriranja za identificiranje svih ranjivosti i uklanjanja samo najopasnijih problema. U prvom slučaju osigurana je visoka učinkovitost zaštite, ali su za održavanje infrastrukture potrebna velika sredstva koja se troše uglavnom na ispravljanje nevažnih problema. U drugom slučaju, postoji visok rizik od propuštanja ranjivosti koja se može iskoristiti za napad. Studija je pokazala da kada odlučujete instalirati ažuriranje koje uklanja ranjivost, ne biste se trebali oslanjati na nedostatak objavljenog prototipa iskorištavanja i mogućnost iskorištavanja izravno ovisi o razini ozbiljnosti ranjivosti.
Izvor: opennet.ru