根據統計,在這9年中所出現的7.6萬個漏洞中,約有9,700個漏洞的攻擊程式被公開,其中只有2,100個被應用在實際攻擊中。圖片來源:Improving Vulnerability Remediation Through Better Exploit Prediction(https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf)

幾名研究人員在本月初舉行的資訊安全經濟(Economics of Information Security)研討會中,發表一項研究,企圖探討企業修補漏洞的優先順序及效率,並指出在2009年至2018年的9年間,在全球被公開揭露的75,976個公開漏洞中(CVE),約有12.8%的漏洞出現公開的攻擊程式,但在實際的攻擊行動中,只有一半採納了這些公開攻擊程式。

研究指出,大多數企業在修補漏洞的政策上都力求平衡,有些可能嘗試修補所有的漏洞,卻會造成缺乏效率的後果,有些則是優先修補少數的高風險漏洞,但後者則需要更好的攻擊預測與評估,而這即是目前不管是政府機關或私人企業都缺乏的能力。

此一報告揭露了最近9年來被公開的漏洞、公開的漏洞攻擊程式,以及相關漏洞遭到實際開採的數據。

根據統計,在這9年中所出現的7.6萬個漏洞中,約有9,700個漏洞的攻擊程式被公開,佔所有漏洞總數的12.8%,另一方面,在實際的攻擊行動中,被利用的漏洞為4,200個,佔所有漏洞的5%。

不過,實際的攻擊並非總是利用公開的攻擊程式,分析顯示,這9,700個漏洞的公開攻擊程式只有2,100個被應用在實際攻擊中,代表駭客所開採的4,200個漏洞中,有一半的攻擊程式是自行打造的。

研究人員想要表達的,是企業或政府不應只仰賴漏洞攻擊程式的曝光與否或CVSS分數來決定修補順序,因為在實際的攻擊行動中,駭客所開採的漏洞至少有一半是缺乏公開攻擊程式的,亦只有不到一半比例的CVSS分數高於9。


Advertisement

更多 iThome相關內容