Tim peneliti ti Virginia Tech, Cyentia sareng RAND, hasil analisis résiko nalika nerapkeun rupa-rupa strategi koreksi kerentanan. Saatos diajar 76 rébu kerentanan anu dipendakan ti 2009 dugi ka 2018, diungkabkeun yén ngan 4183 diantarana (5.5%) anu dianggo pikeun ngalakukeun serangan nyata. Angka anu dihasilkeun lima kali langkung luhur ti ramalan anu diterbitkeun samemehna, anu diperkirakeun jumlah masalah anu tiasa dieksploitasi sakitar 1.4%.
Tapi, teu aya korelasi anu kapanggih antara publikasi prototipe eksploitasi dina domain umum sareng usaha pikeun ngeksploitasi kerentanan. Tina sadaya fakta eksploitasi kerentanan anu dipikanyaho ku panaliti, ngan dina satengah kasus masalah éta mangrupikeun prototipe eksploitasi anu diterbitkeun dina sumber terbuka sateuacana. Kurangna prototipe eksploitasi henteu ngeureunkeun panyerang, anu, upami diperyogikeun, nyiptakeun eksploitasi sorangan.
Kasimpulan sanésna kalebet paménta pikeun eksploitasi utamina tina kerentanan anu ngagaduhan tingkat bahaya anu luhur dumasar kana klasifikasi CVSS. Ampir satengah tina serangan ngagunakeun kerentanan kalayan beurat sahenteuna 9.
Jumlah total prototipe eksploitasi diterbitkeun salila periode dina review ieu diperkirakeun dina 9726 Data dina eksploitasi dipaké dina ulikan ieu dicandak ti
kumpulan Garapan DB, Metasploit, D2 Kaamanan urang Elliot Kit, Kanvas Eksploitasi Framework, Contagio, Reversing Labs na Secureworks CTU.
Inpormasi ngeunaan kerentanan dicandak tina pangkalan data (Database Kerentanan Nasional). Data operasional parantos disusun nganggo inpormasi ti FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM sareng ReversingLabs.
Ulikan ieu dilakukeun pikeun nangtukeun kasaimbangan optimal antara nerapkeun apdet pikeun ngaidentipikasi sagala vulnerabilities jeung ngaleungitkeun ngan masalah paling bahaya. Dina kasus nu pertama, efisiensi panyalindungan tinggi geus ensured, tapi sumberdaya badag diperlukeun pikeun ngajaga infrastruktur, nu spent utamana dina koréksi masalah teu penting. Dina kasus kadua, aya résiko luhur leungit kerentanan anu tiasa dianggo pikeun serangan. Panaliti nunjukkeun yén nalika mutuskeun masang pembaruan anu ngaleungitkeun kerentanan, anjeun henteu kedah ngandelkeun kurangna prototipe eksploitasi anu diterbitkeun sareng kasempetan eksploitasi langsung gumantung kana tingkat parah kerentanan.
sumber: opennet.ru