Группа исследователей из Политехнического университета Виргинии, а также компаний Cyentia и RAND, опубликовала результаты анализа рисков при применении различных стратегий исправления уязвимостей. Изучив 76 тысяч уязвимостей, найденных с 2009 по 2018 год, было выявлено, что только 4183 из них (5.5%) применялись для осуществления реальных атак. Полученный показатель в пять раз превышает ранее опубликованные прогнозы, в которых число эксплуатируемых проблем оценивалось примерно в 1.4%.
При этом не найдено корреляции между публикацией прототипов эксплоита в открытом доступе и попытками эксплуатации уязвимости. Из всех известных исследователям фактов эксплуатации уязвимостей только в половине случаев для проблемы до этого в открытых источниках публиковался прототип эксплоита. Отсутствие прототипа эксплота не останавливает атакующих, которые при необходимости создают эксплоиты своими силами.
Из других выводов можно отметить востребованность для эксплуатации в основном уязвимостей, имеющих высокий уровень опасности по классификации CVSS. В почти половине атак применялись уязвимости с весом не менее 9.
Общее число опубликованных за рассмотренный период прототипов эксплоитов оценено в 9726. Использованные в исследовании данные об эксплоитах получены из коллекций Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs и Secureworks CTU. Информация об уязвимостях была получена из базы NIST NVD (National Vulnerability Database). Сведения о фактах эксплуатации были обобщены на основании информации от FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, Alienvault's OSSIM и ReversingLabs.
Исследование проведено c целью определения оптимального баланса между применением обновлений при выявлении любых уязвимостей и устранением только самых опасных проблем. В первом случае обеспечивается высокая эффективность защиты, но требуются большие ресурсы на сопровождение инфраструктуры, которые тратятся в основном на исправление несущественных проблем. Во втором случае велик риск пропустить уязвимость, которая может быть использована для атаки. Исследование показало, что при принятии решения об установке обновления с устранением уязвимости не стоит полагаться на отсутствие опубликованного прототипа эксплоита и шанс эксплуатации напрямую зависит от уровня опасности уязвимости.