Tim istraživača iz Virginia Tech, Cyentia i RAND, rezultati analize rizika pri primjeni različitih strategija korekcije ranjivosti. Proučavajući 76 tisuća ranjivosti pronađenih od 2009. do 2018. godine, otkriveno je da su samo njih 4183 (5.5%) korištene za izvođenje pravih napada. Rezultirajuća brojka je pet puta veća od prethodno objavljenih prognoza, koje su procijenile broj problema koji se mogu iskoristiti na približno 1.4%.
Međutim, nije pronađena nikakva korelacija između objavljivanja prototipova exploita u javnoj domeni i pokušaja iskorištavanja ranjivosti. Od svih činjenica o iskorištavanju ranjivosti koje su poznate istraživačima, samo je u polovici slučajeva problema prototip exploit-a prethodno objavljen u otvorenim izvorima. Nedostatak prototipa exploita ne zaustavlja napadače, koji, ako je potrebno, sami stvaraju exploite.
Ostali zaključci uključuju zahtjev za iskorištavanjem uglavnom ranjivosti koje imaju visoku razinu opasnosti prema CVSS klasifikaciji. Gotovo polovica napada koristila je ranjivosti s težinom od najmanje 9.
Ukupan broj prototipova exploit-a objavljenih tijekom promatranog razdoblja procijenjen je na 9726. Podaci o exploit-ima korištenim u studiji dobiveni su iz
kolekcije Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs i Secureworks CTU.
Podaci o ranjivostima dobiveni su iz baze podataka (Nacionalna baza podataka o ranjivosti). Operativni podaci prikupljeni su korištenjem informacija iz FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM i ReversingLabs.
Studija je provedena kako bi se utvrdila optimalna ravnoteža između primjene ažuriranja za identificiranje svih ranjivosti i uklanjanja samo najopasnijih problema. U prvom slučaju osigurana je visoka učinkovitost zaštite, ali su za održavanje infrastrukture potrebna velika sredstva koja se troše uglavnom na ispravljanje nevažnih problema. U drugom slučaju, postoji visok rizik od propuštanja ranjivosti koja se može iskoristiti za napad. Studija je pokazala da kada odlučujete instalirati ažuriranje koje uklanja ranjivost, ne biste se trebali oslanjati na nedostatak objavljenog prototipa iskorištavanja i mogućnost iskorištavanja izravno ovisi o razini ozbiljnosti ranjivosti.
Izvor: opennet.ru