安基網 首頁 資訊 安全報 查看內容

研究:只有5.5%的被發現漏洞曾遭到利用

2019-6-11 09:02| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 據外媒報道,本周發表的一項新研究揭示了在過去10年里發現的安全漏洞中實際遭到利用的數量。據悉,這項被認為是迄今為止在同類研究中最廣泛的研究發現,在2009年至2018年發現的7.6萬個安全漏洞中只有4183個安全漏洞遭到利用。更有趣的是,研究人員發現,在公共網站上發布概念驗證(PoC)攻擊代碼與網絡攻 ...

據外媒報道,本周發表的一項新研究揭示了在過去10年里發現的安全漏洞中實際遭到利用的數量。據悉,這項被認為是迄今為止在同類研究中最廣泛的研究發現,在2009年至2018年發現的7.6萬個安全漏洞中只有4183個安全漏洞遭到利用。

更有趣的是,研究人員發現,在公共網站上發布概念驗證(PoC)攻擊代碼與網絡攻擊嘗試之間沒有相關性。

研究小組表示,2009年至2018年間,在4183個安全漏洞中只有一半的漏洞代碼曾出現在公共網站上。

這意味著,沒有公共PoC并不一定會阻止攻擊者利用某些漏洞--一些黑客在需要的時候會利用自己的漏洞。

嚴重缺陷被利用的最多

研究指出,在外被利用的大多數漏洞都是安全漏洞,它們都具有很高的CVSSv2嚴重性評分(可以從1到10,其中10分被分配給最危險和最容易遭到利用的漏洞)。

研究小組表示:“在所有被利用的漏洞中,將近一半的漏洞CVSS的得分是9分或更高。”

研究工作來源

據悉,這項研究的核心數據由多種來源匯編而成的。例如,從NIST的國家漏洞數據庫(NVD)中提取了所有安全漏洞、分數和漏洞特征的列表。而與在外發現的攻擊有關數據則從防御工事實驗室收集而來,有關攻擊的證據從SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元數據和reverse Labs元數據中收集而來。關于編寫的利用代碼信息來自Exploit DB、利用框架(Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework)、Contagio、Reversing Labs和Secureworks CTU,研究團隊發現在2009年到2018年間PoCs發布的數量有9726個。

此外,通過Kenna Security,安全研究人員還獲得了從掃描數百個公司網絡的漏洞掃描器信息中提取的每個漏洞的流行程度。

未來

研究人員希望,他們這一安全漏洞研究將能幫助企業優先考慮其首先想到的漏洞修補以及那些最有可能遭到攻擊的漏洞。

這份研究表明,一個漏洞的CVSSv2得分越高,它遭到嚴重利用的可能性就越大--無論利用代碼公開與否。

另外,受到攻擊的漏洞數量是1/20,而不是以前的研究表明的1/10。

此外,研究團隊還希望他們的工作將能增強整個CVSS框架并提供關于特定漏洞可能會被利用的新信息,進而幫助那些依賴CVSS評分來評估和優先打補丁的組織提供更好的指導。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6700739980806849031/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三