Дослідники з Політехнічного університету Вірджинії та компаній Cyentia і RAND опублікували найбільший на сьогодні аналіз вразливостей безпеки.
Вчені розглянули 76 000 вразливостей, знайдених протягом 2009–2018 років. Виявилось, що для реальних атак використовувались 4183 з них, тобто 5,5%. Цей показник значно більший, ніж очікувалось: за попередніми прогнозами мало бути 1,4%.
Цікаво, що дослідники не знайшли зв'язку між публікацією коду експлойтів у відкритому доступі та початком експлуатації вразливостей. Лише в половині з 4183 випадків прототип експлойту публікувався у відкритих джерелах. Для іншої половини атак хакери створювали експлойти власноруч.
Більшість вразливостей, що використовувались для атак, мають високий рівень CVSSv2 (шкала від 1 до 10, де 10 позначає найнебезпечніші та найпростіші у використанні вразливості). Майже для половини атак застосовувались вразливості з рівнем 9 або 10.
Дослідники сподіваються, що їхня робота допоможе компаніям звернути увагу на безпеку і виправити вразливості. Як бачимо, таких слабких місць в п'ять разів більше, ніж очікувалось; і чим більша оцінка CVSSv2, тим імовірніше станеться атака.
Ще немає коментарів