Virginia Tech, Cyentia ve RAND'dan araştırmacılardan oluşan bir ekip, Çeşitli güvenlik açığı düzeltme stratejileri uygulanırken risk analizinin sonuçları. 76'dan 2009'e kadar bulunan 2018 bin güvenlik açığı incelendiğinde bunlardan yalnızca 4183'ünün (%5.5) gerçek saldırılar gerçekleştirmek için kullanıldığı ortaya çıktı. Ortaya çıkan rakam, istismar edilebilir sorunların sayısının yaklaşık %1.4 olduğunu tahmin eden daha önce yayınlanan tahminlerden beş kat daha yüksek.
Ancak, kamuya açık alanda istismar prototiplerinin yayınlanması ile güvenlik açığından yararlanma girişimleri arasında herhangi bir ilişki bulunamadı. Araştırmacılar tarafından bilinen güvenlik açıklarından yararlanmaya ilişkin tüm gerçekler arasında, sorunla ilgili vakaların yalnızca yarısında, daha önce açık kaynaklarda yayınlanmış bir istismar prototipi vardı. Bir istismar prototipinin bulunmaması, gerektiğinde kendi başlarına istismarlar oluşturan saldırganları durdurmaz.
Diğer sonuçlar arasında CVSS sınıflandırmasına göre yüksek düzeyde tehlike içeren güvenlik açıklarından yararlanma talebi yer alıyor. Saldırıların neredeyse yarısında en az 9 ağırlığa sahip güvenlik açıkları kullanıldı.
İncelenen dönemde yayınlanan istismar prototiplerinin toplam sayısının 9726 olduğu tahmin ediliyor. Çalışmada kullanılan istismarlara ilişkin veriler şu adresten elde edildi:
koleksiyonlar Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs ve Secureworks CTU.
Veritabanından güvenlik açıklarına ilişkin bilgiler elde edildi (Ulusal Güvenlik Açığı Veritabanı). Operasyonel veriler FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault'un OSSIM'i ve ReversingLabs'tan alınan bilgiler kullanılarak derlendi.
Çalışma, herhangi bir güvenlik açığını tespit etmek için güncellemelerin uygulanması ile yalnızca en tehlikeli sorunların ortadan kaldırılması arasındaki optimum dengeyi belirlemek için gerçekleştirildi. İlk durumda, yüksek koruma verimliliği sağlanır, ancak altyapıyı korumak için esas olarak önemsiz sorunları düzeltmek için harcanan büyük kaynaklar gerekir. İkinci durumda ise saldırı için kullanılabilecek bir güvenlik açığının gözden kaçırılma riski yüksektir. Çalışma, bir güvenlik açığını ortadan kaldıran bir güncelleme yüklemeye karar verirken, yayınlanmış bir yararlanma prototipinin olmamasına güvenmemeniz gerektiğini ve yararlanma şansının doğrudan güvenlik açığının ciddiyet düzeyine bağlı olduğunu gösterdi.
Kaynak: opennet.ru