2009年到2018年间发现的7.6万个安全漏洞,仅有4,183个被攻击者利用,占1/20左右。
Cyentia 研究所、兰德公司和弗吉尼亚理工大学的研究人员与美国漏洞及威胁危险管理公司 Kenna Security 联合进行的调查研究揭示了这一事实。
研究人员分析了2009到2018年间出现的76,000个安全漏洞,发现其中仅4,183个漏洞 (5.5%) 被黑客实际利用过。
ZDNet报道,研究人员未能发现网站上公布的漏洞利用概念验证代码和实际的漏洞利用尝试之间存在任何关联。
被利用的4,183个漏洞中仅半数可在公开网站上获取漏洞利用代码,也就是说,攻击者更愿意利用一些特定的漏洞,而且如果需要的话,可以开发自己的漏洞利用代码。
该研究的另一项有趣发现是,绝大多数存在野生利用代码的漏洞,其 CVSSv2 严重性评分都高达9或10分。CVSSv2 评分10分即意味着非常危险且易被利用。
这一发现表明,CVSSv2 评分较高的漏洞被攻击者重度利用的概率也更大,无论公开网站上有没有漏洞利用代码可用。
研究人员用了多个源来编译研究数据,纳入了美国国家标准与技术局 (NIST) 的国家漏洞数据库、SANS 互联网风暴中心、FortiGuard 实验室、ReversingLabs 元数据、Alienvault 的开源安全信息管理系统 (OSSIM) 元数据、Contagio、Exploit DB 漏洞库和 Secureworks 威胁应对平台 (CTU)。
通过扫描成百上千的企业网络,Kenna Security 为研究团队提供了每个漏洞出现的次数统计。
本周在波士顿举行的2019信息安全经济研讨会上,研究人员发布了题为《以更好的漏洞利用预测来改善漏洞缓解》的白皮书,里面列出了该项研究的具体发现。
研究人员在白皮书中写道:此次研究为信息系统经济学文献和漏洞缓解方面的计算机科学文献做出了一定贡献。
另外,我们认为该项研究对于决策者评估网络安全风险有着重大影响,无论决策者属于公司企业、联邦机构还是国家安全机构。
《以更好的漏洞利用预测来改善漏洞缓解》白皮书:
https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf
相关阅读
