Onderzoek toont aan dat enige relativering op zijn plaats is.
Tijdens de Workshop on the Economics of Information Security gisteren in Boston, werd een whitepaper gepresenteerd die een nieuw licht werpt op een securityresearchers flink wordt gehypte markt. Van de 76.000 kwetsbaarheden die zijn onderzocht bleken er maar 4183 daadwerkelijk ‘in het wild’ misbruikt.
De onderzoekers – een team van verschillende universiteiten en organisaties – hopen dat met dit onderzoek bedrijven beter hun prioriteiten kunnen bepalen bij het aanbrengen van patches in hun systemen. Een belangrijk element daarin is de CVSSv2-score van kwetsbaarheden die zijn gevonden. Want ondanks dat het misbruik-percentage redelijk laag blijkt, stijgt dat sterk naarmate de kwetsbaarheden zijn ingedeeld bij de hogere gevaarlijkheidsklassen.
CVSS-score belangrijk
Het gevaar van kwetsbaarheden wordt gerangschikt volgens het Common Vulnerability Scoring System (CVSS) oorspronkelijk opgezet door de Amerikaanse National Infrastructure Advisory Council (NIAC) in 2005. Van de kwetsbaarheden met een score van 9 of 10 op een schaal van 1 tot 10, worden respectievelijk 18,4% en 16,8% misbruikt. Daarentegen worden kwetsbaarheden met een score onder de 5 in slechts 3% of minder van de gevallen voor criminele activiteiten gebruikt.
De onderzoekers hebben gebruik gemaakt van diverse openbare databronnen waaronder de National Vulnerability Database (NVD) van het Amerikaanse NIST en het SANS Internet Storm Center en de databanken van bedrijven als Secureworks CTU. Ook werd er data verzameld van de security scan van honderden grote bedrijven.
Misbruik niet gekoppeld aan PoC
Overigens concludeerden de onderzoekers ook dat er geen correlatie is tussen het tijdstip van de publicatie van een Proof of Concept (PoC) van een kwetsbaarheid en het daadwerkelijk misbruik door aanvallers. Bovendien was van ongeveer de helft van de gevonden kwetsbaarheden een PoC beschikbaar online.
Bron: https://www.agconnect.nl/artikel/slechts-5-procent-kwetsbaarheden-ook-echt-misbruikt