Virginia Tech, Cyentia ve RAND'dan araştırmacılardan oluşan bir ekip,
Ancak, kamuya açık alanda istismar prototiplerinin yayınlanması ile güvenlik açığından yararlanma girişimleri arasında herhangi bir ilişki bulunamadı. Araştırmacılar tarafından bilinen güvenlik açıklarından yararlanmaya ilişkin tüm gerçekler arasında, sorunla ilgili vakaların yalnızca yarısında, daha önce açık kaynaklarda yayınlanmış bir istismar prototipi vardı. Bir istismar prototipinin bulunmaması, gerektiğinde kendi başlarına istismarlar oluşturan saldırganları durdurmaz.
Diğer sonuçlar arasında CVSS sınıflandırmasına göre yüksek düzeyde tehlike içeren güvenlik açıklarından yararlanma talebi yer alıyor. Saldırıların neredeyse yarısında en az 9 ağırlığa sahip güvenlik açıkları kullanıldı.
İncelenen dönemde yayınlanan istismar prototiplerinin toplam sayısının 9726 olduğu tahmin ediliyor. Çalışmada kullanılan istismarlara ilişkin veriler şu adresten elde edildi:
koleksiyonlar Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs ve Secureworks CTU.
Veritabanından güvenlik açıklarına ilişkin bilgiler elde edildi
Çalışma, herhangi bir güvenlik açığını tespit etmek için güncellemelerin uygulanması ile yalnızca en tehlikeli sorunların ortadan kaldırılması arasındaki optimum dengeyi belirlemek için gerçekleştirildi. İlk durumda, yüksek koruma verimliliği sağlanır, ancak altyapıyı korumak için esas olarak önemsiz sorunları düzeltmek için harcanan büyük kaynaklar gerekir. İkinci durumda ise saldırı için kullanılabilecek bir güvenlik açığının gözden kaçırılma riski yüksektir. Çalışma, bir güvenlik açığını ortadan kaldıran bir güncelleme yüklemeye karar verirken, yayınlanmış bir yararlanma prototipinin olmamasına güvenmemeniz gerektiğini ve yararlanma şansının doğrudan güvenlik açığının ciddiyet düzeyine bağlı olduğunu gösterdi.
Kaynak: opennet.ru