研究：駭客在這9年來所開採的公開漏洞中，只有一半利用公開攻擊程式

幾名研究人員在本月初舉行的資訊安全經濟（Economics of Information Security）研討會中，發表一項研究，企圖探討企業修補漏洞的優先順序及效率，並指出在2009年至2018年的9年間，在全球被公開揭露的75,976個公開漏洞中（CVE），約有12.8%的漏洞出現公開的攻擊程式，但在實際的攻擊行動中，只有一半採納了這些公開攻擊程式。

研究指出，大多數企業在修補漏洞的政策上都力求平衡，有些可能嘗試修補所有的漏洞，卻會造成缺乏效率的後果，有些則是優先修補少數的高風險漏洞，但後者則需要更好的攻擊預測與評估，而這即是目前不管是政府機關或私人企業都缺乏的能力。

此一報告揭露了最近9年來被公開的漏洞、公開的漏洞攻擊程式，以及相關漏洞遭到實際開採的數據。

根據統計，在這9年中所出現的7.6萬個漏洞中，約有9,700個漏洞的攻擊程式被公開，佔所有漏洞總數的12.8%，另一方面，在實際的攻擊行動中，被利用的漏洞為4,200個，佔所有漏洞的5%。

不過，實際的攻擊並非總是利用公開的攻擊程式，分析顯示，這9,700個漏洞的公開攻擊程式只有2,100個被應用在實際攻擊中，代表駭客所開採的4,200個漏洞中，有一半的攻擊程式是自行打造的。

研究人員想要表達的，是企業或政府不應只仰賴漏洞攻擊程式的曝光與否或CVSS分數來決定修補順序，因為在實際的攻擊行動中，駭客所開採的漏洞至少有一半是缺乏公開攻擊程式的，亦只有不到一半比例的CVSS分數高於9。