黑客只利用所有安全漏洞的5.5％，但這不是好消息

你如何處理安全漏洞？那麼，對於個人用戶來說，事情不應該太難。事實上，他們通常需要做的就是為他們的軟件應用程序和工具啟用自動更新。這可確保快速有效地應用安全補丁。然而，當一個組織的IT基礎設施受到威脅時，情況要復雜得多。

系統管理員在應用安全補丁之前需要考慮很多事情。例如，我們可能會談論數百名員工，他們可能會被迫停止他們正在做的事情，以便安裝更新。僅潛在的停機時間是一個足夠大的問題，但可能更糟。

在企業環境中，整個系統的正常運行通常取決於幾個單獨的組件協同工作，因此，對其中一個組件的更新可能會導致整個基礎架構崩潰。結果是，應用單個補丁是一項艱苦的工作。考慮每天插入多少安全漏洞，您將很快發現問題的嚴重程度。

優先考慮安全補丁 - 這是一項重大挑戰

在大多數情況下，將每個安全更新安裝到企業基礎架構並不可行，並且有時會造成更多弊大於利。在應用補丁時，公司需要有一個好的策略。將更多的資源用於填補存在更大危險的安全漏洞，並將重點放在不太可能造成太大傷害的安全漏洞上非常重要。但是系統管理員如何評估所有不同的漏洞並決定哪些漏洞需要立即修補以及哪些漏洞需要等待？

來自Cyentia Institute的Jay Jacobs，來自蘭德公司的Sasha Romanovsky，以及來自弗吉尼亞理工大學的Idris Adjerid和Wade Baker都在問自己同樣的問題。他們與漏洞和威脅管理公司Kenna Security合作，他們收集了來自多個不同來源的大量實際數據，他們著手試圖發現哪些已知安全問題最有可能在野外被利用。他們的研究上週在波士頓信息安全經濟學研討會上發表 。

網絡犯罪分子如何挑選利用漏洞的漏洞

即使在發布補丁之後，公開披露網絡安全漏洞也常常引起爭議。一些人爭辯說，不是每個人都會應用修復程序，黑客會知道它。有時，隨著有關漏洞的信息，研究人員還發布了可以主動利用它的概念驗證代碼（PoC），許多人說，這使得攻擊者的工作變得更加容易。

您可以在該參數中看到邏輯。然而，在實踐中，事情有點不同。在野外積極開發的所有漏洞中只有一半具有公開可用的PoC代碼。其餘的，黑客必須找到一種利用它們自己的方式。換句話說，儘管聽起來很複雜，但在可自由訪問的網站上存在PoC代碼與利用的可能性無關。一些研究人員的其他發現並不那麼令人驚訝。

除了唯一的CVE代碼之外，每個發現的安全漏洞都會獲得其CVSS分數。 CVSS代表Common Vulnerability Scoring System，它基本上是一種告訴特定安全漏洞有多危險的方法。. 專家們發現，漏洞的CVSS得分越高，被剝削的可能性就越大。

但無論如何，漏洞利用有多受歡迎？

二十分之一的漏洞在野外被開發利用

漏洞利用只是黑客使用的攻擊媒介之一，從事物的外觀來看，它並不是最受歡迎的攻擊媒介。研究人員檢查的漏洞中有超過5％的漏洞在野外被積極利用。雖然以前的研究顯示的數字甚至更少，但目前的白皮書基於更大的數據集，這意味著結果應該更加可靠。

5％聽起來不是很多，但是當你看一看實際數字時，你會發現問題遠非微不足道。 2009年至2018年期間，大約有76,000個漏洞收到了CVE註冊，這意味著在現實世界中利用的漏洞數量不到4,200。

換句話說，如果忽視安全補丁，全世界的系統管理員可能會遇到很多麻煩。不幸的是，雖然CVSS評分可以作為一個指標，但是沒有一種算法能夠可靠地判斷哪些漏洞更有可能被利用，最終，它應該歸結為單個威脅模型。沒有將其漏洞管理策略整合在一起的系統管理員應該繼續並且作為緊急事項開始這樣做。