Pasukan penyelidik dari Virginia Tech, Cyentia dan RAND, keputusan analisis risiko apabila menggunakan pelbagai strategi untuk pemulihan kelemahan. Selepas mengkaji 76 ribu kelemahan yang ditemui dari 2009 hingga 2018, didapati hanya 4183 daripadanya (5.5%) digunakan untuk melakukan serangan sebenar. Angka yang terhasil adalah lima kali lebih tinggi daripada ramalan yang diterbitkan sebelum ini, di mana bilangan masalah yang dieksploitasi dianggarkan kira-kira 1.4%.
Pada masa yang sama, tiada korelasi ditemui antara penerbitan prototaip eksploit dalam domain awam dan percubaan untuk mengeksploitasi kelemahan. Daripada semua fakta eksploitasi kelemahan yang diketahui penyelidik, hanya dalam separuh daripada kes untuk masalah sebelum itu prototaip eksploitasi telah diterbitkan dalam sumber terbuka. Ketiadaan prototaip eksploitasi tidak menghalang penyerang daripada mencipta eksploitasi sendiri jika perlu.
Daripada kesimpulan lain, seseorang boleh perhatikan permintaan untuk eksploitasi terutamanya kelemahan yang mempunyai tahap bahaya yang tinggi mengikut klasifikasi CVSS. Hampir separuh daripada serangan menggunakan kelemahan dengan berat sekurang-kurangnya 9.
Jumlah bilangan prototaip eksploitasi yang diterbitkan dalam tempoh tinjauan dianggarkan sebanyak 9726. Data eksploitasi yang digunakan dalam kajian diperoleh daripada
Eksploit DB, Metasploit, Kit Elliot D2 Security, Rangka Kerja Eksploitasi Kanvas, Contagio, Reversing Labs dan koleksi CTU Secureworks.
Maklumat tentang kelemahan diperolehi daripada pangkalan data (Pangkalan Data Kerentanan Negara). Data eksploitasi telah diringkaskan berdasarkan maklumat daripada FortiGuard Labs, Pusat Ribut Internet SANS, CTU Secureworks, OSSIM Alienvault dan ReversingLabs.
Kajian ini dijalankan untuk menentukan keseimbangan optimum antara menggunakan kemas kini apabila sebarang kelemahan dikenal pasti dan membetulkan hanya masalah yang paling berbahaya. Dalam kes pertama, kecekapan perlindungan yang tinggi disediakan, tetapi sumber penyelenggaraan infrastruktur yang besar diperlukan, yang dibelanjakan terutamanya untuk menyelesaikan masalah kecil. Dalam kes kedua, terdapat risiko tinggi kehilangan kelemahan yang boleh digunakan untuk menyerang. Kajian menunjukkan bahawa apabila memutuskan sama ada untuk memasang kemas kini untuk membetulkan kerentanan, seseorang tidak seharusnya bergantung pada ketiadaan prototaip eksploitasi yang diterbitkan, dan peluang eksploitasi secara langsung bergantung pada tahap keterukan kerentanan.
Sumber: opennet.ru