Die Security-Experten des X-Force-Teams analysieren und erforschen Sicherheitsschwachstellen seit 1997. Die X-Force-Datenbank enthält über 33.000 erfasste Schwachstellen. Sie hilft den IBM-Forschern dabei, die Dynamik bei der Ausnutzung von Sicherheitslücken und entsprechenden Gegenmaßnahmen zu verfolgen.
Laut dem aktuellen X-Force-Report erfolgten 94 Prozent aller Browser-basierenden Internet-Attacken innerhalb eines Tages nach der öffentlichen Bekanntgabe einer Schwachstelle. Details zu diesen Attacken seien im Internet verfügbar, weit bevor die Nutzer wissen, dass sie eine Schwachstelle in ihrem System patchen müssen. Dieses Phänomen wird nach IBM-Angaben noch dadurch verstärkt, dass einerseits raffinierte Internet-Kriminelle automatisierte Tools übernehmen und weiterentwickeln und andererseits keine festgelegten Abläufen zur Bekanntgabe von Schwachstellen existieren. Die Praxis, Schwachstellen in Verbindung mit einem Sicherheitsratschlag bekannt zu geben, ist für die meisten Forscher gang und gäbe. Laut X-Force werden jedoch Schwachstellen, die von unabhängigen Forschern bekannt gegeben werden, meist doppelt so schnell ausgenutzt. Somit stelle sich die Frage, wie eine verantwortungsvolle Schwachstellen-Kommunikation aussehen soll.
„Die zwei Hauptthemen im ersten Halbjahr 2008 sind Beschleunigung und Ausbreitung“, sagt Kris Lamb, Operations-Manager bei X-Force. „Wir beobachten eine beträchtliche Verkürzung der Zeit zwischen Bekanntgabe einer Schwachstelle und deren Ausbeutung, begleitet von einer grundsätzlichen Zunahme von Sicherheitslücken. Ohne einen einheitlichen Offenlegungsprozess läuft die Schwachstellenforschung Gefahr, kriminelle Aktivitäten noch zu erleichtern".