天创培训:您身边的信息安全培训专家!
开班计划
2019年9月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年9月4日-9日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

研究:只有5.5%的被发现漏洞曾遭到利用

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-06-11  关键词:漏洞

  据外媒报道,本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。


  更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。


  研究小组表示,2009年至2018年间,在4183个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。


  这意味着,没有公共PoC并不一定会阻止攻击者利用某些漏洞--一些黑客在需要的时候会利用自己的漏洞。


  严重缺陷被利用的最多


  研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的CVSSv2严重性评分(可以从1到10,其中10分被分配给最危险和最容易遭到利用的漏洞)。


  研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞CVSS的得分是9分或更高。”


  研究工作来源


  据悉,这项研究的核心数据由多种来源汇编而成的。例如,从NIST的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元数据和reverse Labs元数据中收集而来。关于编写的利用代码信息来自Exploit DB、利用框架(Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework)、Contagio、Reversing Labs和Secureworks CTU,研究团队发现在2009年到2018年间PoCs发布的数量有9726个。


  此外,通过Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。


  未来


  研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。


  这份研究表明,一个漏洞的CVSSv2得分越高,它遭到严重利用的可能性就越大--无论利用代码公开与否。


  另外,受到攻击的漏洞数量是1/20,而不是以前的研究表明的1/10。


  此外,研究团队还希望他们的工作将能增强整个CVSS框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖CVSS评分来评估和优先打补丁的组织提供更好的指导。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000