据外媒报道,本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。
更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。
研究小组表示,2009年至2018年间,在4183个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。
这意味着,没有公共PoC并不一定会阻止攻击者利用某些漏洞--一些黑客在需要的时候会利用自己的漏洞。
严重缺陷被利用的最多
研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的CVSSv2严重性评分(可以从1到10,其中10分被分配给最危险和最容易遭到利用的漏洞)。
研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞CVSS的得分是9分或更高。”
研究工作来源
据悉,这项研究的核心数据由多种来源汇编而成的。例如,从NIST的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元数据和reverse Labs元数据中收集而来。关于编写的利用代码信息来自Exploit DB、利用框架(Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework)、Contagio、Reversing Labs和Secureworks CTU,研究团队发现在2009年到2018年间PoCs发布的数量有9726个。
此外,通过Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。
未来
研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。
这份研究表明,一个漏洞的CVSSv2得分越高,它遭到严重利用的可能性就越大--无论利用代码公开与否。
另外,受到攻击的漏洞数量是1/20,而不是以前的研究表明的1/10。
此外,研究团队还希望他们的工作将能增强整个CVSS框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖CVSS评分来评估和优先打补丁的组织提供更好的指导。