タイトルの新しい広範な研究論文 “脆弱性修復の改善
より良いエクスプロイト予測を通じて” 過去10年間に発見された脆弱性の数を明らかにする (の間に 2019 と 2018), また、積極的に悪用された欠陥の割合を共有します.
驚くべきことに, それだけ 4,183 の 76,000 同時期の脆弱性は、野生の攻撃に利用されています. 研究はバージニア工科大学の研究者によって実施されました, ランド研究所とCyentia.
研究者のデータセットは 9,700 公開されたエクスプロイト, と 4,200 野生で観察されたエクスプロイト.
約 12.8% 間のすべての脆弱性の 2009 と 2018 エクスプロイトコードを公開していました, 約 5% すべての脆弱性のうち、野生で悪用された. さらに, 悪用されたすべての脆弱性の約半分だけが公開されたコードに関連付けられています. この調査では、脆弱性の修復に対する改善されたアプローチの必要性が示唆されているため、これが重要な発見であることが強調されています。.
そもそもなぜ研究が行われたのか?
研究チームは、組織における脆弱性管理の採用に焦点を合わせました. それが判明したとして, 何十年にもわたる研究と技術革新にもかかわらず, 修復の実践にはほとんど進歩がありませんでした, 現在、ほとんどの組織には、それらを修正するためのリソースよりも多くの脆弱性があります. 深刻な脆弱性に対する修復戦略の実装は、これまで以上に必要とされています.
レポートによると, 「現在のアプローチが効果的でない主な理由の1つは、企業が特定の脆弱性が意味のある脅威をもたらすかどうかを効果的に評価できないことです」. 前年の統計によると、 1.4% 公開されている脆弱性のうち、野生で観察されているエクスプロイトがあります.
現実の世界では、実際に攻撃者が注目している脆弱性はごくわずかです。, 修復に向けた有望なアプローチは、実際に悪用される可能性のある脆弱性を特定することです。, したがって、最初にこれらの脆弱性を修正するための確固たる努力を優先します.
誰も驚かない, 重大度スコアが高いと評価された脆弱性は、最も悪用されている脆弱性です. すなわち, これらは重大度スコアの欠陥です 9 以上 (10 最高得点であること), 悪用するのが最も簡単です.
研究者は、KennaSecurityと提携して収集された複数のデータセットを使用したことに注意することが重要です。, 大, 米国を拠点とする脆弱性および脅威管理会社. 研究者はまた、MITREのCommonVulnerabilityEnumerationによって公開された脆弱性のデータセットを使用しました (CVE) 間の期間の努力 2009 と 2018.
野生で発見されたエクスプロイトに関するデータは、FortiGuardLabsから収集されました。, SANS InternetStormCenterから悪用の証拠が収集されています, Secureworks CTU, AlienvaultのOSSIMメタデータ, およびReversingLabsメタデータ.
書面によるエクスプロイトに関する情報は、エクスプロイトDBから取得されました, 搾取フレームワーク (Metasploit, D2セキュリティのエリオットキット, およびCanvasExploitationFramework), コンテイジョン, リバースラボ, およびSecureworksCTU, 研究チームが見つけた 9,726 当該期間に発行された概念実証コード.
ついに, ケナセキュリティの助けを借りて, チームは、何百もの企業ネットワークのスキャンから抽出され、脆弱性スキャナー情報から導き出された各脆弱性の蔓延を理解することができました。.