每日安全資訊：研究表明只有 5.5% 的被發現漏洞曾遭到利用

知識 06-11

這項被認為是迄今為止在同類研究中最廣泛的研究發現，在 2009 年至 2018 年發現的 7.6 萬個安全漏洞中只有 4183 個安全漏洞遭到利用。

作者/來源：安華金和

據外媒報道，本周發表的一項新研究揭示了在過去 10 年裡發現的安全漏洞中實際遭到利用的數量。據悉，這項被認為是迄今為止在同類研究中最廣泛的研究發現，在 2009 年至 2018 年發現的 7.6 萬個安全漏洞中只有 4183 個安全漏洞遭到利用。

每日安全資訊：研究表明只有 5.5% 的被發現漏洞曾遭到利用

更有趣的是，研究人員發現，在公共網站上發布概念驗證（PoC）攻擊代碼與網路攻擊嘗試之間沒有相關性。

研究小組表示，2009 年至 2018 年間，在 4183 個安全漏洞中只有一半的漏洞代碼曾出現在公共網站上。

這意味著，沒有公共 PoC 並不一定會阻止攻擊者利用某些漏洞—— 一些黑客在需要的時候會利用自己的漏洞。

嚴重缺陷被利用的最多

研究指出，在外被利用的大多數漏洞都是安全漏洞，它們都具有很高的 CVSSv2 嚴重性評分（可以從 1 到 10，其中 10 分被分配給最危險和最容易遭到利用的漏洞）。

研究小組表示：「在所有被利用的漏洞中，將近一半的漏洞 CVSS 的得分是9分或更高。」

每日安全資訊：研究表明只有 5.5% 的被發現漏洞曾遭到利用

研究工作來源

據悉，這項研究的核心數據由多種來源彙編而成的。例如，從 NIST 的國家漏洞資料庫（NVD）中提取了所有安全漏洞、分數和漏洞特徵的列表。而與在外發現的攻擊有關數據則從防禦工事實驗室收集而來，有關攻擊的證據從 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元數據和 reverse Labs 元數據中收集而來。關於編寫的利用代碼信息來自 Exploit DB、利用框架（Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework）、Contagio、Reversing Labs 和 Secureworks CTU，研究團隊發現在 2009 年到 2018 年間 PoC 發布的數量有 9726 個。

此外，通過 Kenna Security，安全研究人員還獲得了從掃描數百個公司網路的漏洞掃描器信息中提取的每個漏洞的流行程度。

未來

研究人員希望，他們這一安全漏洞研究將能幫助企業優先考慮其首先想到的漏洞修補以及那些最有可能遭到攻擊的漏洞。

這份研究表明，一個漏洞的 CVSSv2 得分越高，它遭到嚴重利用的可能性就越大——無論利用代碼公開與否。

另外，受到攻擊的漏洞數量是 1/20，而不是以前的研究表明的 1/10。

此外，研究團隊還希望他們的工作將能增強整個 CVSS 框架並提供關於特定漏洞可能會被利用的新信息，進而幫助那些依賴 CVSS 評分來評估和優先打補丁的組織提供更好的指導。

來源：cnBeta.COM