当利用代码之前,攻击者获得了大量的头部启动

网络安全研究人员 宣传利用代码 在Cyber​​Atcks中用于对攻击者提供明确和明确的优势,由肯纳安全和冰夜研究所进行了新的研究。

利用代码披露

“这种数据驱动的研究在几年内建造的,应该毫无疑问,” Ed Bellis.,首席技术官 肯纳安全。 “长期以来一直是网络安全生态系统的实践,我们许多人认为是有益的,实际上对防守者有害。”

在补丁之前公开可用的爆炸代码

多年来, 网络安全行业 依靠“白帽”黑客来识别潜在的漏洞,并开发利用代码来证明安全缺陷不仅仅是理论。大约三分之一的时间,该代码在软件开发人员可以提供修补程序之前公开可用。

几十年来,软件开发人员和安全研究人员争论了这种实践是否提高了整体安全性,因为它识别漏洞和 激励安全团队 修补它们,或者如果实践给攻击者一个优势,因为它基本上提供了攻击的路线图。

研究发现,当利用代码披露之前,攻击者在防守者中获得98天的优势–也就是说,攻击者可以针对更多资产部署利润,而不是捍卫者可以减轻三个月。

漏洞利用代码的发布还驱动了大量的漏洞利用。只有1.3%的漏洞在野外被利用,并具有公开的利用代码。但是,缺陷的漏洞平均且平均频繁地利用了15倍,而不是那些没有那些没有那些,而且他们被用来六次作为许多公司的六次。

其他主要结果

  • 它需要40倍更长的时间来修复Linux和SAP软件(大约900天)的漏洞,而不是谷歌和Microsoft产品(大约22天)。
  • 当发布的漏洞利用允许远程执行远程执行时,它会频繁地使用30倍。
  • 公共利用代码仅为漏洞的6.5%,但对于其中大部分而言,没有证据表明野外剥削。
  • 对于在企业环境中观察到的大约三分之二的剥削,没有已知的已知开发代码,尽管许多剥削(例如 SQL注入)不需要代码。

“我们看到的是,利用代码的可用性驱动了一系列剥削,使黑客更容易部署最有可能对企业造成严重损害的攻击类型,” 韦德贝克,伴随着思想学院的合作伙伴。

“当利用代码集成到黑客工具中时–合法和恶意–找到和利用安全弱点变得更快和更便宜。“

利用代码披露使攻击者不仅仅是捍卫者

研究人员消除了几个竞争的假设来支持他们的结论。他们发现很少有证据表明,剥削代码的释放促进了早期的主动漏洞检测,也没有发现它激励更快的缓解。

通常,安全研究人员将披露漏洞并利用软件开发人员,并为开发人员提供补丁,称为安全披露的过程。但是,研究人员通常可以详细了解该漏洞,包括工作利用代码,可供公众使用。

“虽然披露辩论的每一方都没有缺乏意见,但” 杰伊·雅各布,合作伙伴 奇观研究所.

“由于良好的安全性研究人员释放武器化利用代码,因此对潜在的益处和危害进行了非常少的客观研究。这些数据为安全社区提供了明确的指导:公开分享利用代码福利的攻击者不仅仅是捍卫者。“

分享这个