Een team van onderzoekers van Virginia Tech, Cyentia en RAND, resultaten van risicoanalyse bij het toepassen van verschillende strategieën voor het corrigeren van kwetsbaarheden. Na onderzoek van 76 kwetsbaarheden die tussen 2009 en 2018 waren gevonden, bleek dat slechts 4183 daarvan (5.5%) werden gebruikt om echte aanvallen uit te voeren. Het resulterende cijfer is vijf keer hoger dan eerder gepubliceerde voorspellingen, waarin het aantal exploiteerbare problemen op ongeveer 1.4% werd geschat.
Er werd echter geen correlatie gevonden tussen de publicatie van exploit-prototypes in het publieke domein en pogingen om de kwetsbaarheid te misbruiken. Van alle feiten over misbruik van kwetsbaarheden die onderzoekers bekend zijn, was slechts in de helft van de gevallen voor het probleem een prototype van de exploit die eerder in open bronnen was gepubliceerd. Het ontbreken van een exploit-prototype houdt aanvallers niet tegen, die indien nodig zelf exploits creëren.
Andere conclusies zijn onder meer de vraag naar exploitatie van voornamelijk kwetsbaarheden die volgens de CVSS-classificatie een hoog risico met zich meebrengen. Bijna de helft van de aanvallen maakte gebruik van kwetsbaarheden met een gewicht van minimaal 9.
Het totale aantal exploit-prototypes dat in de onderzochte periode is gepubliceerd, werd geschat op 9726. De gegevens over exploits die in het onderzoek zijn gebruikt, zijn afkomstig van
collecties Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs en Secureworks CTU.
Uit de database is informatie over kwetsbaarheden gehaald (Nationale Kwetsbaarheidsdatabase). Operationele gegevens zijn samengesteld met behulp van informatie van FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM en ReversingLabs.
Het onderzoek is uitgevoerd om de optimale balans te bepalen tussen het toepassen van updates om eventuele kwetsbaarheden te identificeren en het elimineren van alleen de gevaarlijkste problemen. In het eerste geval wordt een hoge beschermingsefficiëntie verzekerd, maar zijn er grote middelen nodig om de infrastructuur te onderhouden, die voornamelijk worden besteed aan het corrigeren van onbelangrijke problemen. In het tweede geval is de kans groot dat je een kwetsbaarheid mist die gebruikt kan worden voor een aanval. Uit het onderzoek bleek dat je bij de beslissing om een update te installeren die een kwetsbaarheid opheft, niet moet vertrouwen op het ontbreken van een gepubliceerd exploit-prototype en dat de kans op misbruik rechtstreeks afhangt van de ernst van de kwetsbaarheid.
Bron: opennet.ru