Um novo papel extensa pesquisa intitulado “Melhorando a correção da vulnerabilidade
Por meio de uma melhor previsão de exploração” revela o número de vulnerabilidades descobertas nos últimos anos dez (entre 2019 e 2018), e também compartilha a percentagem de falhas exploradas ativamente.
Surpreendentemente, só 4,183 do 76,000 vulnerabilidades no referido período foram usadas em ataques na selva. A pesquisa foi conduzida por pesquisadores da Virginia Tech, Rand Corporation e Cyentia.
O conjunto de dados dos pesquisadores consiste em 9,700 exploits publicados, e 4,200 explorações observadas na natureza.
Aproximadamente 12.8% de todas as vulnerabilidades entre 2009 e 2018 publicou código de exploração, enquanto apenas cerca 5% de todas as vulnerabilidades foram exploradas em liberdade. além disso, apenas cerca de metade de todas as vulnerabilidades exploradas têm código publicado associado. A pesquisa destaca isso como um achado importante porque sugere a necessidade de uma abordagem aprimorada para correção de vulnerabilidade.
Por que a pesquisa foi realizada em primeiro lugar?
A equipe de pesquisa focou na adoção da gestão de vulnerabilidade nas organizações. Como se vê, apesar de décadas de pesquisas e inovações técnicas, houve poucos avanços nas práticas de remediação, e atualmente a maioria das organizações tem mais vulnerabilidades do que recursos para corrigi-los. A implementação de estratégias de remediação contra vulnerabilidades graves é mais necessária do que nunca.
De acordo com o relatório, “Uma das principais razões pelas quais as abordagens atuais são ineficazes é que as empresas não podem avaliar com eficácia se uma determinada vulnerabilidade representa uma ameaça significativa”. As estatísticas dos anos anteriores mostram que apenas 1.4% das vulnerabilidades publicadas têm explorações que foram observadas em liberdade.
Dado que tão poucas vulnerabilidades são realmente um foco para invasores no mundo real, uma abordagem promissora para a remediação é identificar vulnerabilidades que possam ser realmente exploradas, e, portanto, priorizar os esforços firmes para remediar essas vulnerabilidades primeiro.
Para ninguém de surpresa, vulnerabilidades classificadas com altos índices de gravidade são as mais exploradas. Mais especificamente, essas são falhas com uma pontuação de gravidade 9 ou mais alto (10 sendo a maior pontuação), e são os mais fáceis de explorar.
É importante observar que os pesquisadores usaram vários conjuntos de dados coletados em parceria com Kenna Security, um grande, Empresa de gestão de vulnerabilidades e ameaças sediada nos EUA. Os pesquisadores também usaram um conjunto de dados de vulnerabilidades publicado pela Common Vulnerability Enumeration do MITRE (CVE) esforço no período entre 2009 e 2018.
Os dados sobre exploits descobertos na natureza foram coletados do FortiGuard Labs, com evidências de exploração sendo coletadas do SANS Internet Storm Center, Secureworks CTU, Metadados OSSIM da Alienvault, e metadados ReversingLabs.
As informações sobre o exploit escrito foram retirados do Exploit DB, estruturas de exploração (Metasploit, Elliot Kit da D2 Security, e estrutura de exploração do Canvas), Contágio, Invertendo laboratórios, e Secureworks CTU, com a equipe de pesquisa descobrindo 9,726 códigos de prova de conceito publicados no referido período.
Finalmente, com a ajuda da Kenna Security, a equipe foi capaz de compreender a prevalência de cada vulnerabilidade extraída de varreduras de centenas de redes corporativas e derivada de informações do scanner de vulnerabilidade.