Et team av forskere fra Virginia Tech, Cyentia og RAND, resultater av risikoanalyse ved anvendelse av ulike strategier for utbedring av sårbarheter. Etter å ha studert 76 tusen sårbarheter funnet fra 2009 til 2018, ble det avslørt at bare 4183 av dem (5.5%) ble brukt til å utføre ekte angrep. Det resulterende tallet er fem ganger høyere enn tidligere publiserte prognoser, der antallet utnyttede problemer ble estimert til om lag 1.4 %.
Samtidig ble det ikke funnet noen sammenheng mellom publisering av utnyttelsesprototyper i det offentlige domene og forsøk på å utnytte sårbarheten. Av alle fakta om utnyttelse av sårbarheter kjent for forskere, ble bare i halvparten av tilfellene for et problem tidligere publisert en prototype av utnyttelsen i åpne kilder. Fraværet av en utnyttelsesprototype hindrer ikke angripere i å lage utnyttelser på egen hånd om nødvendig.
Fra andre konklusjoner kan man merke seg kravet om utnyttelse hovedsakelig av sårbarheter som har et høyt farenivå i henhold til CVSS-klassifiseringen. Nesten halvparten av angrepene brukte sårbarheter med en vekt på minst 9.
Det totale antallet utnyttelsesprototyper publisert i løpet av perioden ble estimert til 9726. Utnyttingsdataene som ble brukt i studien ble hentet fra
Utnytt DB, Metasploit, D2 Securitys Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs og Secureworks CTU-samlinger.
Informasjon om sårbarheter ble hentet fra databasen (Nasjonal sårbarhetsdatabase). Utnyttelsesdata er oppsummert basert på informasjon fra FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvaults OSSIM og ReversingLabs.
Studien ble utført for å finne den optimale balansen mellom å bruke oppdateringer når eventuelle sårbarheter er identifisert og å fikse bare de farligste problemene. I det første tilfellet er det gitt høy beskyttelseseffektivitet, men det kreves store vedlikeholdsressurser for infrastruktur, som hovedsakelig brukes på å fikse mindre problemer. I det andre tilfellet er det stor risiko for å gå glipp av en sårbarhet som kan brukes til å angripe. Studien viste at når man bestemmer seg for om man skal installere en oppdatering for å fikse en sårbarhet, bør man ikke stole på fraværet av en publisert utnyttelsesprototype, og sjansen for utnyttelse avhenger direkte av alvorlighetsgraden til sårbarheten.
Kilde: opennet.ru