Tim ta’ riċerkaturi minn Virginia Tech, Cyentia u RAND, riżultati ta’ analiżi tar-riskju meta jiġu applikati diversi strateġiji ta’ korrezzjoni tal-vulnerabbiltà. Wara li studjaw 76 elf vulnerabbiltà misjuba mill-2009 sal-2018, ġie żvelat li 4183 minnhom biss (5.5%) intużaw biex iwettqu attakki reali. Iċ-ċifra li tirriżulta hija ħames darbiet ogħla mit-tbassir ippubblikat qabel, li stmat in-numru ta' problemi sfruttabbli għal madwar 1.4%.
Madankollu, ma nstabet l-ebda korrelazzjoni bejn il-pubblikazzjoni ta’ prototipi ta’ sfruttament fid-dominju pubbliku u t-tentattivi ta’ sfruttament tal-vulnerabbiltà. Mill-fatti kollha tal-isfruttament tal-vulnerabbiltajiet magħrufa mir-riċerkaturi, biss f'nofs il-każijiet għall-problema kien prototip tal-isfruttament ippubblikat f'sorsi miftuħa qabel. In-nuqqas ta 'prototip ta' sfruttament ma jwaqqafx lill-attakkanti, li, jekk meħtieġ, joħolqu sfruttamenti waħedhom.
Konklużjonijiet oħra jinkludu d-domanda għall-isfruttament prinċipalment ta’ vulnerabbiltajiet li għandhom livell għoli ta’ periklu skont il-klassifikazzjoni CVSS. Kważi nofs l-attakki użaw vulnerabbiltajiet b'piż ta 'mill-inqas 9.
In-numru totali ta 'prototipi ta' sfruttament ippubblikati matul il-perjodu taħt reviżjoni kien stmat għal 9726 XNUMX. Id-dejta dwar l-isfruttament użata fl-istudju nkisbet minn
kollezzjonijiet Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs u Secureworks CTU.
Informazzjoni dwar il-vulnerabbiltajiet inkisbet mid-database (Database Nazzjonali dwar il-Vulnerabbiltà). Id-dejta operattiva ġiet miġbura bl-użu ta' informazzjoni minn FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM u ReversingLabs.
L-istudju sar biex jiddetermina l-aħjar bilanċ bejn l-applikazzjoni ta 'aġġornamenti biex jiġu identifikati kwalunkwe vulnerabbiltajiet u l-eliminazzjoni biss tal-problemi l-aktar perikolużi. Fl-ewwel każ, hija żgurata effiċjenza għolja ta 'protezzjoni, iżda huma meħtieġa riżorsi kbar biex tinżamm l-infrastruttura, li jintefqu prinċipalment biex jikkoreġu problemi mhux importanti. Fit-tieni każ, hemm riskju għoli li titlef vulnerabbiltà li tista 'tintuża għal attakk. L-istudju wera li meta tiddeċiedi li tinstalla aġġornament li jelimina vulnerabbiltà, m'għandekx tistrieħ fuq in-nuqqas ta 'prototip ta' sfruttament ippubblikat u ċ-ċans ta 'sfruttament jiddependi direttament fuq il-livell ta' severità tal-vulnerabbiltà.
Sors: opennet.ru