Një ekip studiuesish nga Virginia Tech, Cyentia dhe RAND, rezultatet e analizës së rrezikut gjatë aplikimit të strategjive të ndryshme të korrigjimit të cenueshmërisë. Pas studimit të 76 mijë dobësive të gjetura nga viti 2009 deri në vitin 2018, u zbulua se vetëm 4183 prej tyre (5.5%) janë përdorur për të kryer sulme reale. Shifra që rezulton është pesë herë më e lartë se parashikimet e publikuara më parë, të cilat vlerësuan numrin e problemeve të shfrytëzueshme në rreth 1.4%.
Megjithatë, nuk u gjet asnjë korrelacion midis publikimit të prototipeve të shfrytëzimit në domenin publik dhe përpjekjeve për të shfrytëzuar cenueshmërinë. Nga të gjitha faktet e shfrytëzimit të dobësive të njohura për studiuesit, vetëm në gjysmën e rasteve për problemin ishte një prototip i shfrytëzimit të publikuar më parë në burime të hapura. Mungesa e një prototipi të shfrytëzimit nuk i ndalon sulmuesit, të cilët, nëse është e nevojshme, krijojnë shfrytëzime vetë.
Përfundime të tjera përfshijnë kërkesën për shfrytëzim kryesisht të dobësive që kanë nivel të lartë rreziku sipas klasifikimit CVSS. Pothuajse gjysma e sulmeve përdorën dobësi me një peshë prej të paktën 9.
Numri i përgjithshëm i prototipave të shfrytëzimit të publikuar gjatë periudhës në shqyrtim u vlerësua në 9726. Të dhënat mbi shfrytëzimet e përdorura në studim u morën nga
koleksionet Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs dhe Secureworks CTU.
Informacioni rreth dobësive është marrë nga baza e të dhënave (National Vulnerability Database). Të dhënat operative janë përpiluar duke përdorur informacione nga FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM dhe ReversingLabs.
Studimi u krye për të përcaktuar ekuilibrin optimal midis aplikimit të përditësimeve për të identifikuar çdo dobësi dhe eliminimin e vetëm problemeve më të rrezikshme. Në rastin e parë, sigurohet efikasitet i lartë i mbrojtjes, por kërkohen burime të mëdha për mirëmbajtjen e infrastrukturës, të cilat shpenzohen kryesisht për korrigjimin e problemeve të parëndësishme. Në rastin e dytë, ekziston një rrezik i lartë për të humbur një cenueshmëri që mund të përdoret për një sulm. Studimi tregoi se kur vendosni të instaloni një përditësim që eliminon një cenueshmëri, nuk duhet të mbështeteni në mungesën e një prototipi të publikuar të shfrytëzimit dhe mundësia e shfrytëzimit varet drejtpërdrejt nga niveli i ashpërsisë së cenueshmërisë.
Burimi: opennet.ru