Sebuah tim peneliti dari Virginia Tech, Cyentia dan RAND, hasil analisis risiko ketika menerapkan berbagai strategi koreksi kerentanan. Setelah mempelajari 76 ribu kerentanan yang ditemukan dari tahun 2009 hingga 2018, terungkap bahwa hanya 4183 di antaranya (5.5%) yang digunakan untuk melakukan serangan nyata. Angka yang dihasilkan lima kali lebih tinggi dari perkiraan yang dipublikasikan sebelumnya, yang memperkirakan jumlah masalah yang dapat dieksploitasi sekitar 1.4%.
Namun, tidak ditemukan korelasi antara publikasi prototipe eksploitasi di domain publik dan upaya untuk mengeksploitasi kerentanan. Dari semua fakta eksploitasi kerentanan yang diketahui para peneliti, hanya separuh kasus masalah tersebut merupakan prototipe eksploitasi yang dipublikasikan di sumber terbuka sebelumnya. Kurangnya prototipe eksploitasi tidak menghentikan penyerang, yang, jika perlu, membuat eksploitasi sendiri.
Kesimpulan lain mencakup perlunya eksploitasi terutama terhadap kerentanan yang memiliki tingkat bahaya tinggi menurut klasifikasi CVSS. Hampir setengah dari serangan menggunakan kerentanan dengan bobot minimal 9.
Jumlah total prototipe eksploitasi yang diterbitkan selama periode peninjauan diperkirakan mencapai 9726.Data eksploitasi yang digunakan dalam penelitian ini diperoleh dari
koleksi Exploit DB, Metasploit, Elliot Kit D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs, dan Secureworks CTU.
Informasi tentang kerentanan diperoleh dari database (Basis Data Kerentanan Nasional). Data operasional telah dikumpulkan menggunakan informasi dari FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, OSSIM Alienvault, dan ReversingLabs.
Studi ini dilakukan untuk menentukan keseimbangan optimal antara menerapkan pembaruan untuk mengidentifikasi kerentanan dan hanya menghilangkan masalah yang paling berbahaya. Dalam kasus pertama, efisiensi perlindungan yang tinggi dipastikan, tetapi sumber daya yang besar diperlukan untuk memelihara infrastruktur, yang sebagian besar dihabiskan untuk memperbaiki masalah yang tidak penting. Dalam kasus kedua, terdapat risiko tinggi hilangnya kerentanan yang dapat digunakan untuk serangan. Studi tersebut menunjukkan bahwa ketika memutuskan untuk menginstal pembaruan yang menghilangkan kerentanan, Anda tidak boleh bergantung pada kurangnya prototipe eksploitasi yang dipublikasikan dan peluang eksploitasi secara langsung bergantung pada tingkat keparahan kerentanan.
Sumber: opennet.ru