Uma equipe de pesquisadores da Virginia Tech, Cyentia e RAND, resultados da análise de risco ao aplicar várias estratégias de correção de vulnerabilidade. Tendo estudado 76 mil vulnerabilidades encontradas entre 2009 e 2018, revelou-se que apenas 4183 delas (5.5%) foram utilizadas para realizar ataques reais. O valor resultante é cinco vezes superior às previsões publicadas anteriormente, que estimavam o número de problemas exploráveis em aproximadamente 1.4%.
No entanto, não foi encontrada nenhuma correlação entre a publicação de protótipos de exploração no domínio público e as tentativas de explorar a vulnerabilidade. De todos os fatos de exploração de vulnerabilidades conhecidos pelos pesquisadores, apenas em metade dos casos o problema era um protótipo de exploração publicado anteriormente em fontes abertas. A falta de um protótipo de exploração não impede os invasores, que, se necessário, criam explorações por conta própria.
Outras conclusões incluem a demanda de exploração principalmente de vulnerabilidades que apresentam alto nível de perigo de acordo com a classificação CVSS. Quase metade dos ataques utilizou vulnerabilidades com peso de pelo menos 9.
O número total de protótipos de exploits publicados durante o período em análise foi estimado em 9726 XNUMX. Os dados sobre exploits utilizados no estudo foram obtidos de
coleções Exploit DB, Metasploit, Elliot Kit da D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs e Secureworks CTU.
Informações sobre vulnerabilidades foram obtidas no banco de dados (Banco de dados nacional de vulnerabilidades). Os dados operacionais foram compilados usando informações do FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, OSSIM da Alienvault e ReversingLabs.
O estudo foi conduzido para determinar o equilíbrio ideal entre a aplicação de atualizações para identificar quaisquer vulnerabilidades e eliminar apenas os problemas mais perigosos. No primeiro caso, é garantida alta eficiência de proteção, mas são necessários grandes recursos para manter a infraestrutura, que são gastos principalmente na correção de problemas sem importância. No segundo caso, existe um alto risco de perder uma vulnerabilidade que pode ser usada para um ataque. O estudo mostrou que ao decidir instalar uma atualização que elimine uma vulnerabilidade, você não deve confiar na falta de um protótipo de exploração publicado e a chance de exploração depende diretamente do nível de gravidade da vulnerabilidade.
Fonte: opennet.ru