Tim peneliti ti Virginia Tech, Cyentia sareng RAND,
Tapi, teu aya korelasi anu kapanggih antara publikasi prototipe eksploitasi dina domain umum sareng usaha pikeun ngeksploitasi kerentanan. Tina sadaya fakta eksploitasi kerentanan anu dipikanyaho ku panaliti, ngan dina satengah kasus masalah éta mangrupikeun prototipe eksploitasi anu diterbitkeun dina sumber terbuka sateuacana. Kurangna prototipe eksploitasi henteu ngeureunkeun panyerang, anu, upami diperyogikeun, nyiptakeun eksploitasi sorangan.
Kasimpulan sanésna kalebet paménta pikeun eksploitasi utamina tina kerentanan anu ngagaduhan tingkat bahaya anu luhur dumasar kana klasifikasi CVSS. Ampir satengah tina serangan ngagunakeun kerentanan kalayan beurat sahenteuna 9.
Jumlah total prototipe eksploitasi diterbitkeun salila periode dina review ieu diperkirakeun dina 9726 Data dina eksploitasi dipaké dina ulikan ieu dicandak ti
kumpulan Garapan DB, Metasploit, D2 Kaamanan urang Elliot Kit, Kanvas Eksploitasi Framework, Contagio, Reversing Labs na Secureworks CTU.
Inpormasi ngeunaan kerentanan dicandak tina pangkalan data
Ulikan ieu dilakukeun pikeun nangtukeun kasaimbangan optimal antara nerapkeun apdet pikeun ngaidentipikasi sagala vulnerabilities jeung ngaleungitkeun ngan masalah paling bahaya. Dina kasus nu pertama, efisiensi panyalindungan tinggi geus ensured, tapi sumberdaya badag diperlukeun pikeun ngajaga infrastruktur, nu spent utamana dina koréksi masalah teu penting. Dina kasus kadua, aya résiko luhur leungit kerentanan anu tiasa dianggo pikeun serangan. Panaliti nunjukkeun yén nalika mutuskeun masang pembaruan anu ngaleungitkeun kerentanan, anjeun henteu kedah ngandelkeun kurangna prototipe eksploitasi anu diterbitkeun sareng kasempetan eksploitasi langsung gumantung kana tingkat parah kerentanan.
sumber: opennet.ru