各企業須要更好的攻擊預測評估 以避免形成缺少效率的後果

本月早些時候，一些研究人員在信息安全經濟學（信息安全經濟學）研討會上發表了一項研究報告，試圖修補圍欄並討論業務重點和效率，並指出在2009-2018年的9年中，有75,976個公共漏洞（ CVEs）在全球公開披露，大約12.8％的漏洞顯示了開放式攻擊程序，但只有一半的實際攻擊被採用。

該fun88研究指出，大多數公司都在努力平衡修補漏洞的政策。有些人可能會嘗試修復全部漏洞，但這會致使效率低下。有些人會優先考慮修復一些高風險漏洞，但後者須要更好。攻擊預測和評估，這是目前政府機構或私營公司缺少能力。

該報告揭示了過去九年中公開的漏洞，公開漏洞以及相關漏洞的實際利用數據。

據統計，在過去9年中發生的76,000個漏洞中，大約有9,700個漏洞被公佈，佔全部漏洞的12.8％。另外一方面，在實際攻擊中，它們被利用了。該漏洞爲4,200，佔全部漏洞的5％。

可是，實際攻擊並不老是使用公共攻擊程序。分析代表，在實際攻擊中，9,700個開放攻擊程序中只有2,100個被使用，佔黑客利用的4,200個攻擊中的一半。該程序是本身創建的。

研究人員想要說的是，公司或政府不該僅僅依靠漏洞利用程序或CVSS評分來肯定補丁順序，由於在實際攻擊中，黑客利用的漏洞中至少有一半缺少披露。不到一半的攻擊計劃的CVSS評分高於9。