Et team av forskere fra Virginia Tech, Cyentia og RAND,
Samtidig ble det ikke funnet noen sammenheng mellom publisering av utnyttelsesprototyper i det offentlige domene og forsøk på å utnytte sårbarheten. Av alle fakta om utnyttelse av sårbarheter kjent for forskere, ble bare i halvparten av tilfellene for et problem tidligere publisert en prototype av utnyttelsen i åpne kilder. Fraværet av en utnyttelsesprototype hindrer ikke angripere i å lage utnyttelser på egen hånd om nødvendig.
Fra andre konklusjoner kan man merke seg kravet om utnyttelse hovedsakelig av sårbarheter som har et høyt farenivå i henhold til CVSS-klassifiseringen. Nesten halvparten av angrepene brukte sårbarheter med en vekt på minst 9.
Det totale antallet utnyttelsesprototyper publisert i løpet av perioden ble estimert til 9726. Utnyttingsdataene som ble brukt i studien ble hentet fra
Utnytt DB, Metasploit, D2 Securitys Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs og Secureworks CTU-samlinger.
Informasjon om sårbarheter ble hentet fra databasen
Studien ble utført for å finne den optimale balansen mellom å bruke oppdateringer når eventuelle sårbarheter er identifisert og å fikse bare de farligste problemene. I det første tilfellet er det gitt høy beskyttelseseffektivitet, men det kreves store vedlikeholdsressurser for infrastruktur, som hovedsakelig brukes på å fikse mindre problemer. I det andre tilfellet er det stor risiko for å gå glipp av en sårbarhet som kan brukes til å angripe. Studien viste at når man bestemmer seg for om man skal installere en oppdatering for å fikse en sårbarhet, bør man ikke stole på fraværet av en publisert utnyttelsesprototype, og sjansen for utnyttelse avhenger direkte av alvorlighetsgraden til sårbarheten.
Kilde: opennet.ru