Група дослідників з Політехнічного університету Віргінії, а також компаній Cyentia та RAND, результати аналізу ризиків під час застосування різних стратегій виправлення уразливостей. Вивчивши 76 тисяч уразливостей, знайдених з 2009 по 2018 рік, було виявлено, що лише 4183 із них (5.5%) застосовувалися для здійснення реальних атак. Отриманий показник у п'ять разів перевищує раніше опубліковані прогнози, в яких кількість проблем, що експлуатуються, оцінювалася приблизно в 1.4%.
При цьому не знайдено кореляцію між публікацією прототипів експлоїту у відкритому доступі та спробами експлуатації вразливості. З усіх відомих дослідникам фактів експлуатації вразливостей лише у половині випадків проблеми до цього у відкритих джерелах публікувався прототип експлоїту. Відсутність прототипу експлоту не зупиняє атакуючих, які за необхідності створюють експлоїти самотужки.
p align="justify"> З інших висновків можна відзначити затребуваність для експлуатації в основному вразливостей, що мають високий рівень небезпеки за класифікацією CVSS. У майже половині атак застосовувалися вразливості з вагою щонайменше 9.
Загальна кількість опублікованих за розглянутий період прототипів експлоїтів оцінена в 9726. Використані в дослідженні дані про експлоїти отримані з
колекцій Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs та Secureworks CTU.
Інформація про вразливість була отримана з бази (National Vulnerability Database). Відомості про факти експлуатації були узагальнені на основі інформації від FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM та ReversingLabs.
Дослідження проведено з метою визначення оптимального балансу між застосуванням оновлень при виявленні будь-яких уразливостей та усунення лише найнебезпечніших проблем. У першому випадку забезпечується висока ефективність захисту, але потрібні великі ресурси супровід інфраструктури, які витрачаються переважно виправлення несуттєвих проблем. У другому випадку великий ризик пропустити вразливість, яка може бути використана для атаки. Дослідження показало, що при ухваленні рішення про встановлення оновлення з усуненням уразливості не варто покладатися на відсутність опублікованого прототипу експлоїту та шанс експлуатації безпосередньо залежить від рівня небезпеки вразливості.
Джерело: opennet.ru