ทีมนักวิจัยจาก Virginia Tech, Cyentia และ RAND ผลการวิเคราะห์ความเสี่ยงเมื่อใช้กลยุทธ์ต่าง ๆ เพื่อแก้ไขช่องโหว่ หลังจากศึกษาช่องโหว่ 76 รายการที่พบตั้งแต่ปี 2009 ถึงปี 2018 พบว่ามีเพียง 4183 รายการ (5.5%) เท่านั้นที่ถูกใช้เพื่อโจมตีจริง ตัวเลขที่ได้นั้นสูงกว่าการคาดการณ์ที่เผยแพร่ก่อนหน้านี้ถึงห้าเท่า โดยประมาณการจำนวนปัญหาที่ถูกเอารัดเอาเปรียบไว้ที่ประมาณ 1.4%
ในเวลาเดียวกัน ไม่พบความสัมพันธ์ระหว่างการเผยแพร่ต้นแบบการหาประโยชน์ในโดเมนสาธารณะและความพยายามที่จะใช้ประโยชน์จากช่องโหว่ จากข้อเท็จจริงทั้งหมดของการแสวงหาประโยชน์จากช่องโหว่ที่นักวิจัยรู้จัก มีเพียงครึ่งหนึ่งของกรณีที่เกิดปัญหาก่อนหน้านั้น ต้นแบบของการเจาะช่องโหว่ได้รับการเผยแพร่ในโอเพ่นซอร์ส การไม่มีต้นแบบการหาประโยชน์ไม่ได้หยุดผู้โจมตีจากการสร้างการหาประโยชน์ด้วยตัวเองหากจำเป็น
จากข้อสรุปอื่น ๆ เราสามารถสังเกตความต้องการในการแสวงหาประโยชน์จากช่องโหว่ที่มีระดับอันตรายสูงตามการจัดประเภท CVSS เกือบครึ่งหนึ่งของการโจมตีใช้ช่องโหว่ที่มีน้ำหนักอย่างน้อย 9
จำนวนต้นแบบการหาประโยชน์ทั้งหมดที่เผยแพร่ในช่วงระหว่างการตรวจสอบอยู่ที่ประมาณ 9726 ข้อมูลการหาประโยชน์ที่ใช้ในการศึกษาได้มาจาก
Exploit DB, Metasploit, Elliot Kit ของ D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs และคอลเลกชัน CTU ของ Secureworks
ข้อมูลเกี่ยวกับช่องโหว่ได้รับจากฐานข้อมูล (ฐานข้อมูลช่องโหว่แห่งชาติ). ข้อมูลการเอารัดเอาเปรียบได้รับการสรุปตามข้อมูลจาก FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM และ ReversingLabs
การศึกษานี้ดำเนินการเพื่อหาสมดุลที่เหมาะสมระหว่างการใช้การอัปเดตเมื่อมีการระบุช่องโหว่และแก้ไขปัญหาที่อันตรายที่สุดเท่านั้น ในกรณีแรก มีการจัดเตรียมประสิทธิภาพการป้องกันสูง แต่ต้องใช้ทรัพยากรการบำรุงรักษาโครงสร้างพื้นฐานขนาดใหญ่ ซึ่งส่วนใหญ่ใช้ไปกับการแก้ไขปัญหาเล็กน้อย ในกรณีที่สอง มีความเสี่ยงสูงที่จะพลาดช่องโหว่ที่จะใช้โจมตีได้ การศึกษาแสดงให้เห็นว่าเมื่อตัดสินใจว่าจะติดตั้งการอัปเดตเพื่อแก้ไขช่องโหว่หรือไม่ เราไม่ควรพึ่งพาการไม่มีต้นแบบช่องโหว่ที่เผยแพร่ และโอกาสในการโจมตีโดยตรงขึ้นอยู่กับระดับความรุนแรงของช่องโหว่
ที่มา: opennet.ru