Новое исследование показало, что в реальных атаках используется только порядка 5,5% уязвимостей, раскрываемых публично, притом в половине случаев атакующие пишут эксплойт с нуля.

Эти результаты группа исследователей из аналитической компании Cyentia, НКО RAND Corporation и Политехнического университета Виргинии получила на основе анализа данных, собранных различными организациями в период с 2009 года по 2018-й.

Так, сведения об уязвимостях команда почерпнула из базы данных NVD (National Vulnerability Database), которую ведет Национальный институт по стандартизации и технологии США. Информацию об эксплойтах, используемых в кибератаках, исследователям предоставили компании Fortinet, Secureworks, AlienVault, ReversingLabs, а также Центр SANS по сетевым угрозам. Список обнародованных PoC-кодов был составлен на основе коллекций Exploit DB, Contagio, Secureworks, ReversingLabs и каталогов  модулей, создаваемых для специализированных фреймворков (Metasploit, D2 Elliot Web Exploitation Framework, Canvas).

Как оказалось, за 10 лет было выявлено около 76 тыс. уязвимостей; из них злоумышленники использовали немногим более 4 тыс. Примечательно, что почти в половине случаев они отдали предпочтение критическим багам, с оценкой 9 баллов и выше по шкале CVSS v2.

Против ожидания, исследователи не смогли установить взаимосвязь между публикацией PoC и началом атак через уязвимость. Совокупно за 10 лет было обнародовано свыше 9,7 тыс. PoC-кодов; из них злоумышленники позаимствовали лишь 2,1 тыс., а в остальных случаях (в том же объеме) создали эксплойт самостоятельно.

Результаты масштабного исследования были представлены на очередной конференции «Финансовые аспекты информационной безопасности», прошедшей в Бостоне в начале этой недели. Авторы работы надеются, что полученные данные помогут компаниям, полагающимся на CVSS-рейтинг, лучше оценивать риски и расставлять приоритеты при установке патчей.

Категории: Аналитика, Главное, Уязвимости