Сколько уязвимостей действительно привело к атакам?

Сколько уязвимостей действительно привело к атакам?

RAND, Виргинский институт и Cyentia Institute выяснили, что из 76 тыс. багов, выявленных за девять лет, только 4 183 эксплуатировались во вредоносных кампаниях. Это 5,5%.

Команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовали результаты проведенного ими недавно исследования, которое
показало, что на самом деле следует за сотней новостей о багах.

В период с 2009 по 2018 годы только 4 183 использовались в реальных атаках. К тому же, специалистам не удалось обнаружить прямую связь между публикацией PoC-кодов для уязвимостей в открытом
доступе и началом попыток их эксплуатации. Эксплоиты в свободном доступе были только для половины. Это примерно 2091 уязвимости.

По шкале CVSSv2, которая оценивает степень опасности уязвимости, большая часть использованных получила 9-10 баллов. 10 баллов присваивают самым опасным, которые легко проэксплуатировать.

Исследователи надеются, что новые данные о риске эксплуатации той или иной уязвимости помогут улучшить эффективность фреймворка CVSS.

У Google для этого в мае был запущен проект, который позволяет отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям. Он
называется 0Day ‘In the Wild’. Правда стоит помнить, что проект не распространяется на все уязвимости нулевого дня, а только на баги, охватываемые исследованиями команды Project Zero. Кроме того,
проект не включает уязвимости в продуктах, срок поддержки которых был прекращен к тому времени, как был обнаружен баг, или проблемы, эксплуатировавшиеся в период, когда о них уже было известно, но
патч еще не был выпущен.

Источник: http://www.it-world.ru/it-news/security/145975.html