В Москве прошла ежегодная встреча научно-технических партнеров Российского национального комитета (РНК) СИГРЭ.
Умные машины с AI-начинкой разработаны в Центре робототехники Сбербанка.
Сводная группа исследователей из Cyentia, RAND Corporation и Virginia Tech подсчитала, что практическое применение в руках преступников находит малое количество уязвимостей, зато большинство из них оцениваются в 9-10 баллов по десятибалльной шкале CVSS.
Данные для столь масштабной аналитики были собраны из множества источников. Так, информацию об уязвимостях, степени их опасности и характеристиках собрали из Национальной базы данных уязвимостей NIST. Информацию об эксплоитах, встречающихся на практике, взяли у FortiGuard Labs, а данные о признаках эксплуатации предоставили SANS Internet Storm Center, Secureworks CTU, Alienvault OSSIM, а также ReversingLabs. С помощью Kenna Security исследователи также получили данные о распространенности каждой уязвимости, полученные в результате сканирования сотен корпоративных сетей.
Согласно докладу экспертов, из 76 000 уязвимостей, обнаруженных в 2009-2018 годах, лишь 4183 проблемы фактически эксплуатировали преступники. По сути, атакам подвергается каждая 20 уязвимость, но не каждая 100, как гласили прошлые исследования на эту тему.
Интересен и тот факт, что исследователи не выявили прямой взаимосвязи между опубликованными в открытых источниках экалоитами и числом попыток эксплуатации уязвимостей. Это означает, что отсутствие публично доступного PoC-эксплоита не останавливает преступников, и если нужно, хакеры создают собственные инструменты.
Статистика, собранная экспертами, гласит, что более половины используемых злоумышленниками уязвимостей оцениваются в 9 баллов по шкале CVSS и выше. Фактически, чем выше балл CVSS для уязвимости, тем выше вероятность того, что проблема подвергнется интенсивной эксплуатации, и неважно, доступен эксплоит публично или же нет.
Исследователи надеются, что их работа по составлению крупнейшего на сегодняшний день исследования уязвимостей и эксплоитов для них поможет компаниям правильно расставить приоритеты и понять, какие уязвимости нужно исправить первыми, и какие именно бреши могут подвергнутся атаке.
