本週發表的一項新研究揭示了在過去10年裡發現的安全漏洞中實際遭到利用的數量。據悉，這項被認為是迄今為止在同類研究中最廣泛的研究發現，在2009年至2018年發現的7.6萬個安全漏洞中只有4183個安全漏洞遭到利用。

更有趣的是，研究人員發現，在公共網站上釋出概念驗證(PoC)攻擊程式碼與網路攻擊嘗試之間沒有相關性。

研究小組表示，2009年至2018年間，在4183個安全漏洞中只有一半的漏洞程式碼曾出現在公共網站上。

這意味著，沒有公共PoC並不一定會阻止攻擊者利用某些漏洞--一些駭客在需要的時候會利用自己的漏洞。

嚴重缺陷被利用的最多

研究指出，在外被利用的大多數漏洞都是安全漏洞，它們都具有很高的CVSSv2嚴重性評分（可以從1到10，其中10分被分配給最危險和最容易遭到利用的漏洞）。

研究小組表示：“在所有被利用的漏洞中，將近一半的漏洞CVSS的得分是9分或更高。”

據悉，這項研究的核心資料由多種來源彙編而成的。例如，從NIST的國家漏洞資料庫(NVD)中提取了所有安全漏洞、分數和漏洞特徵的列表。而與在外發現的攻擊有關資料則從防禦工事實驗室收集而來，有關攻擊的證據從SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元資料和reverse Labs元資料中收集而來。關於編寫的利用程式碼資訊來自Exploit DB、利用框架（Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework）、Contagio、Reversing Labs和Secureworks CTU，研究團隊發現在2009年到2018年間PoCs釋出的數量有9726個。

此外，透過Kenna Security，安全研究人員還獲得了從掃描數百個公司網路的漏洞掃描器資訊中提取的每個漏洞的流行程度。

未來

研究人員希望，他們這一安全漏洞研究將能幫助企業優先考慮其首先想到的漏洞修補以及那些最有可能遭到攻擊的漏洞。

這份研究表明，一個漏洞的CVSSv2得分越高，它遭到嚴重利用的可能性就越大--無論利用程式碼公開與否。

另外，受到攻擊的漏洞數量是1/20，而不是以前的研究表明的1/10。

此外，研究團隊還希望他們的工作將能增強整個CVSS框架並提供關於特定漏洞可能會被利用的新資訊，進而幫助那些依賴CVSS評分來評估和優先打補丁的組織提供更好的指導。