Tim peneliti saka Virginia Tech, Cyentia lan RAND, asil analisis risiko nalika ngetrapake macem-macem strategi koreksi kerentanan. Sawise sinau 76 ewu kerentanan sing ditemokake saka 2009 nganti 2018, dicethakaké mung 4183 saka wong-wong mau (5.5%) sing digunakake kanggo nindakake serangan nyata. Angka asil kasebut kaping lima luwih dhuwur tinimbang ramalan sing diterbitake sadurunge, sing kira-kira jumlah masalah sing bisa dimanfaatake kira-kira 1.4%.
Nanging, ora ana korélasi sing ditemokake ing antarane publikasi prototipe eksploitasi ing domain umum lan upaya kanggo ngeksploitasi kerentanan kasebut. Saka kabeh kasunyatan eksploitasi kerentanan sing dikenal para peneliti, mung ing setengah kasus masalah kasebut minangka prototipe eksploitasi sing diterbitake ing sumber terbuka sadurunge. Kekurangan prototipe eksploitasi ora mandhegake panyerang, sing, yen perlu, nggawe eksploitasi dhewe.
Kesimpulan liyane kalebu panjaluk eksploitasi utamane saka kerentanan sing duwe tingkat bebaya sing dhuwur miturut klasifikasi CVSS. Meh setengah saka serangan nggunakake kerentanan kanthi bobot paling ora 9.
Jumlah total prototipe eksploitasi sing diterbitake sajrone periode kasebut dikira 9726. Data babagan eksploitasi sing digunakake ing panliten kasebut
koleksi Eksploitasi DB, Metasploit, Kit Elliot D2 Keamanan, Framework Eksploitasi Kanvas, Contagio, Reversing Labs lan Secureworks CTU.
Informasi babagan kerentanan dipikolehi saka database (Basis Data Kerentanan Nasional). Data operasional wis disusun nggunakake informasi saka FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM lan ReversingLabs.
Panaliten kasebut ditindakake kanggo nemtokake keseimbangan optimal antarane aplikasi nganyari kanggo ngenali kerentanan lan ngilangi mung masalah sing paling mbebayani. Ing kasus sing sepisanan, efisiensi proteksi sing dhuwur ditemtokake, nanging sumber daya sing akeh dibutuhake kanggo njaga infrastruktur, sing digunakake utamane kanggo mbenerake masalah sing ora penting. Ing kasus kapindho, ana risiko dhuwur ilang kerentanan sing bisa digunakake kanggo serangan. Panliten kasebut nuduhake yen nalika mutusake nginstal nganyari sing ngilangi kerentanan, sampeyan ora kudu ngandelake kekurangan prototipe eksploitasi sing diterbitake lan kemungkinan eksploitasi langsung gumantung marang tingkat keruwetan kerentanan.
Source: opennet.ru