本周發(fā)布的新研究為漏洞利用世界提供了一些急需的信息，揭示了過去十年中發(fā)現(xiàn)的安全漏洞總數(shù)中有多少實際上是在野外被利用的。該研究 - 被認(rèn)為是迄今為止最廣泛的類型 - 發(fā)現(xiàn)2009年至2018年期間發(fā)現(xiàn)的總共76,000個漏洞中僅有4,183個安全漏洞已在野外被利用。更有趣的是，研究人員發(fā)現(xiàn)，在公共網(wǎng)站上發(fā)布概念驗證(PoC)漏洞利用代碼與開發(fā)嘗試之間沒有相關(guān)性。該研究小組表示，在2009年至2018年間，在野外開發(fā)的4,183個安全漏洞中，只有一半漏洞利用了公共網(wǎng)站上列出的漏洞利用代碼。

這意味著缺少公共PoC并不一定能阻止攻擊者利用某些漏洞 - 一些黑客在需要時制作自己的漏洞。

最嚴(yán)重的缺陷被利用得最多

此外，該研究還揭示了大多數(shù)在野外利用的漏洞都是具有高CVSSv2嚴(yán)重性評分的安全漏洞(可以從1到10，其中10個被分配給最危險且易于利用的漏洞)。

研究小組表示，“只有不到一半的被利用漏洞的CVSS評分為9分或更高。”

圖片：Jacobs等。

研究工作來源

本研究的核心數(shù)據(jù)來自眾多來源。

例如，所有安全漏洞，分?jǐn)?shù)和漏洞特征的列表都是從NIST的國家漏洞數(shù)據(jù)庫(NVD)中提取的。

從野外發(fā)現(xiàn)的漏洞利用數(shù)據(jù)收集自FortiGuard實驗室，還從SANS Internet Storm Center，Secureworks CTU，Alienvault的OSSIM元數(shù)據(jù)和ReversingLabs元數(shù)據(jù)中收集了利用證據(jù)。

有關(guān)書面漏洞利用代碼的信息來自Exploit DB，開發(fā)框架(Metasploit，D2 Security的Elliot Kit和Canvas Exploitation Framework)，Contagio，Reversing Labs和Secureworks CTU，研究團隊在2009年至2018年間發(fā)布了9,726個PoC。

此外，通過Kenna Security，安全研究人員還獲得了從漏洞掃描程序信息派生的數(shù)百個公司(客戶)網(wǎng)絡(luò)掃描得出的每個漏洞的流行情況。

研究人員希望，他們在組裝有關(guān)安全漏洞(及其利用)的最大研究方面的工作將有助于公司優(yōu)先考慮他們想要首先修補的漏洞，哪些漏洞最有可能受到攻擊。

該團隊的工作表明，漏洞所具有的CVSSv2得分越高，無論漏洞利用代碼是否公開，其遭受大量攻擊的可能性就越高。

此外，受過攻擊的漏洞數(shù)量是20個中的一個，而不是100個中的一個，正如過去的舊研究工作所顯示的那樣。

最后但同樣重要的是，研究團隊還希望他們的工作能夠“增加整體CVSS框架”，提供有關(guān)特定漏洞可能被利用的可能性的新信息，從而為依賴CVSS評分的組織提供更好的指導(dǎo)。評估補丁并確定優(yōu)先順序。

關(guān)于這項研究的其他細節(jié)可以在昨天在2019年波士頓信息安全經(jīng)濟學(xué)研討會上發(fā)表的名為“改善脆弱性修復(fù)通過更好的利用預(yù)測”的白皮書中找到。