Eng Team vu Fuerscher vu Virginia Tech, Cyentia a RAND, Resultater vun der Risikoanalyse wann Dir verschidde Schwachstellekorrekturstrategien applizéiert. Nodeems Dir 76 Tausend Schwachstelle studéiert, déi vun 2009 bis 2018 fonnt goufen, gouf opgedeckt datt nëmmen 4183 vun hinnen (5.5%) benotzt gi fir richteg Attacken auszeféieren. Déi doraus resultéierend Figur ass fënnef Mol méi héich wéi virdrun publizéiert Prognosen, déi d'Zuel vun exploitable Problemer op ongeféier 1.4% geschat.
Wéi och ëmmer, keng Korrelatioun gouf fonnt tëscht der Verëffentlechung vun Exploit Prototypen am Domaine public a Versuche fir d'Schwachheet auszenotzen. Vun all de Fakten vun der Ausbeutung vu Schwachstelle bekannt fir Fuerscher, nëmmen an der Halschent vun de Fäll fir de Problem war e Prototyp vun der Exploitatioun an oppene Quellen publizéiert. De Mangel vun engem Exploit Prototyp stoppt net Ugräifer, déi, wann néideg, Exploiten eleng erstellen.
Aner Conclusiounen enthalen d'Demande fir d'Ausbeutung haaptsächlech vu Schwachstelle, déi en héije Niveau vu Gefor no der CVSS Klassifikatioun hunn. Bal d'Halschent vun den Attacke benotzt Schwachstelle mat engem Gewiicht vun op d'mannst 9.
D'total Zuel vun Exploit Prototype publizéiert während der Period ënner review war op 9726 geschat
Kollektiounen Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs a Secureworks CTU.
Informatioun iwwer Schwachstelle gouf aus der Datebank kritt (National Vulnerability Database). Operatiounsdaten goufen zesummegesat mat Informatioun vu FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM an ReversingLabs.
D'Etude gouf duerchgefouert fir den optimale Gläichgewiicht ze bestëmmen tëscht Aktualiséierunge fir all Schwachstelle z'identifizéieren an nëmmen déi geféierlechst Problemer ze eliminéieren. Am éischte Fall ass eng héich Schutzeffizienz geséchert, awer grouss Ressourcen sinn erfuerderlech fir d'Infrastruktur z'erhalen, déi haaptsächlech fir d'Korrektur vun onwichteg Probleemer ausginn. Am zweete Fall besteet e grousse Risiko fir eng Schwachstelle ze verpassen, déi fir en Attack ka benotzt ginn. D'Etude huet gewisen datt wann Dir decidéiert en Update z'installéieren deen eng Schwachstelle eliminéiert, Dir sollt net op de Mangel vun engem publizéierten Exploitprototyp vertrauen an d'Chance vun der Ausbeutung hänkt direkt vun der Schwieregkeetsgrad vun der Schwachstelle of.
Source: opennet.ru