Overslaan en naar de inhoud gaan

'Slechts 5 procent kwetsbaarheden ook echt misbruikt'

Tijdens de Workshop on the Economics of Information Security gisteren in Boston, werd een whitepaper gepresenteerd die een nieuw licht werpt op een securityresearchers flink wordt gehypte markt. Van de 76.000 kwetsbaarheden die zijn onderzocht bleken er maar 4183 daadwerkelijk 'in het wild' misbruikt.
hooiberg
© CC0 - Pixabay
CC0 - Pixabay

De onderzoekers - een team van verschillende universiteiten en organisaties - hopen dat met dit onderzoek bedrijven beter hun prioriteiten kunnen bepalen bij het aanbrengen van patches in hun systemen. Een belangrijk element daarin is de CVSSv2-score van kwetsbaarheden die zijn gevonden. Want ondanks dat het misbruik-percentage redelijk laag blijkt, stijgt dat sterk naarmate de kwetsbaarheden zijn ingedeeld bij de hogere gevaarlijkheidsklassen.

CVSS-score belangrijk

Het gevaar van kwetsbaarheden wordt gerangschikt volgens het Common Vulnerability Scoring System (CVSS) oorspronkelijk opgezet door de Amerikaanse National Infrastructure Advisory Council (NIAC) in 2005. Van de kwetsbaarheden met een score van 9 of 10 op een schaal van 1 tot 10, worden respectievelijk 18,4% en 16,8% misbruikt. Daarentegen worden kwetsbaarheden met een score onder de 5 in slechts 3% of minder van de gevallen voor criminele activiteiten gebruikt.

De onderzoekers hebben gebruik gemaakt van diverse openbare databronnen waaronder de National Vulnerability Database (NVD) van het Amerikaanse NIST en het SANS Internet Storm Center en de databanken van bedrijven als Secureworks CTU. Ook werd er data verzameld van de security scan van honderden grote bedrijven.

Misbruik niet gekoppeld aan PoC

Overigens concludeerden de onderzoekers ook dat er geen correlatie is tussen het tijdstip van de publicatie van een Proof of Concept (PoC) van een kwetsbaarheid en het daadwerkelijk misbruik door aanvallers. Bovendien was van ongeveer de helft van de gevonden kwetsbaarheden een PoC beschikbaar online.

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in