باستخدام التعلم الآلي المدرب على البيانات من أكثر من عشرين مصدرًا ، أنشأ فريق من الباحثين الجامعيين نموذجًا للتنبؤ بنقاط الضعف التي من المحتمل أن تؤدي إلى استغلال وظيفي ، وهي أداة ذات قيمة محتملة يمكن أن تساعد الشركات على تحديد عيوب البرامج التي يجب تحديد أولوياتها بشكل أفضل.
يمكن للنموذج ، المسمى "الاستغلال المتوقع" ، اكتشاف 60٪ من الثغرات الأمنية التي سيكون لها برمجيات إكسبلويت وظيفية ، مع دقة تنبؤ - أو "دقة" لاستخدام مصطلحات التصنيف - تبلغ 86٪. يتمثل مفتاح البحث في السماح بإجراء تغييرات في مقاييس معينة بمرور الوقت ، لأنه لا تتوفر جميع المعلومات ذات الصلة في وقت الكشف عن ثغرة أمنية ، واستخدام الأحداث اللاحقة سمح للباحثين بصقل دقة التنبؤ.
من خلال تحسين إمكانية التنبؤ بالاستغلال ، يمكن للشركات تقليل عدد نقاط الضعف الموجودة تعتبر حاسمة للترقيع، لكن للمقياس استخدامات أخرى أيضًا ، كما يقول تيودور دوميتراو ، الأستاذ المشارك في الهندسة الكهربائية وهندسة الكمبيوتر في جامعة ميريلاند في كوليدج بارك ، وأحد مؤلفي الورقة البحثية التي نُشرت الأسبوع الماضي في مؤتمر USENIX Security.
"التنبؤ بقابلية الاستغلال لا يتعلق فقط بالشركات التي ترغب في إعطاء الأولوية للتصحيح ، ولكن أيضًا لشركات التأمين التي تحاول حساب مستويات المخاطر والمطورين ، لأن هذه ربما تكون خطوة نحو فهم ما يجعل الثغرات الأمنية قابلة للاستغلال" ، كما يقول.
• جامعة ماريلاند في كوليدج بارك وجامعة ولاية أريزونا البحث هي أحدث محاولة لمنح الشركات معلومات إضافية حول نقاط الضعف التي يمكن أو من المحتمل أن يتم استغلالها. في عام 2018 ، باحثون من جامعة ولاية أريزونا ومعهد علوم المعلومات بجامعة جنوب كاليفورنيا ركز على تحليل مناقشات Dark Web للعثور على العبارات والميزات التي يمكن استخدامها للتنبؤ باحتمال تعرض الثغرة أو تم استغلالها.
وفي عام 2019 ، قدم باحثون من شركة أبحاث البيانات Cyentia Institute و RAND Corp و Virginia Tech نموذجًا تنبؤات محسّنة سيتم استغلال الثغرات الأمنية من قبل المهاجمين.
تعتمد العديد من الأنظمة على العمليات اليدوية من قبل المحللين والباحثين ، لكن مقياس الاستغلال المتوقع يمكن أن يكون آليًا بالكامل ، كما يقول جاي جاكوبس ، كبير علماء البيانات والمؤسس المشارك في معهد Cyentia.
يقول: "هذا البحث مختلف لأنه يركز على التقاط جميع القرائن الدقيقة تلقائيًا وبشكل متسق ودون الاعتماد على وقت وآراء المحلل". "يتم تنفيذ جميع أعماله في الوقت الفعلي وعلى نطاق واسع. يمكن أن تتطور بسهولة مع تدفق الثغرات الأمنية التي يتم الكشف عنها ونشرها يوميًا ".
لم تكن جميع الميزات متاحة في وقت الكشف ، لذلك كان على النموذج أيضًا أن يأخذ في الاعتبار الوقت والتغلب على التحدي المتمثل في ما يسمى "ضوضاء التسمية". عندما تستخدم خوارزميات التعلم الآلي نقطة ثابتة في الوقت المناسب لتصنيف الأنماط - على سبيل المثال ، قابلة للاستغلال وغير قابلة للاستغلال - يمكن أن يقوض التصنيف فعالية الخوارزمية ، إذا تبين لاحقًا أن التسمية غير صحيحة.
PoCs: تحليل الأخطاء الأمنية لاستغلالها
استخدم الباحثون معلومات حول ما يقرب من 103,000 نقطة ضعف ، ثم قارنوا ذلك بـ 48,709 برهان مفهوم (PoCs) تم جمعه من ثلاثة مستودعات عامة - ExploitDB و BugTraq و Vulners - والتي مثلت برمجيات إكسبلويت لـ 21,849،XNUMX من الثغرات الأمنية المميزة. استخرج الباحثون أيضًا مناقشات الوسائط الاجتماعية للكلمات الرئيسية والرموز - عبارات من كلمة واحدة أو أكثر - بالإضافة إلى إنشاء مجموعة بيانات عن مآثر معروفة.
ومع ذلك ، قال الباحثون في الورقة البحثية إن نقاط إثبات الملكية ليست دائمًا مؤشرًا جيدًا على ما إذا كانت الثغرة قابلة للاستغلال أم لا.
صرح الباحثون: "تم تصميم PoCs لإثارة الضعف عن طريق تحطيم أو تعليق التطبيق المستهدف وغالبًا ما تكون غير قابلة للتسليح بشكل مباشر". نلاحظ أن هذا يؤدي إلى العديد من الإيجابيات الكاذبة للتنبؤ ببرامج استغلال الثغرات الوظيفية. في المقابل ، اكتشفنا أن بعض خصائص PoC ، مثل تعقيد الكود ، هي عوامل تنبؤية جيدة ، لأن إطلاق ثغرة أمنية يعد خطوة ضرورية لكل برمجية إكسبلويت ، مما يجعل هذه الميزات مرتبطة سببيًا بصعوبة إنشاء برمجيات إكسبلويت وظيفية ".
يلاحظ دوميتراو أن التنبؤ بما إذا كان سيتم استغلال ثغرة أمنية يضيف صعوبة إضافية ، حيث سيتعين على الباحثين إنشاء نموذج لدوافع المهاجمين.
يقول: "إذا تم استغلال ثغرة في البرية ، فإننا نعلم أن هناك استغلالًا وظيفيًا هناك ، لكننا نعرف حالات أخرى حيث يوجد استغلال وظيفي ، ولكن لا يوجد مثيل معروف للاستغلال في البرية". "الثغرات الأمنية التي لها ثغرة وظيفية خطيرة ولذا يجب أن تحظى بالأولوية في التصحيح."
وجدت الأبحاث التي نشرتها Kenna Security - المملوكة الآن لشركة Cisco - ومعهد Cyentia ذلك أدى وجود كود استغلال عام إلى زيادة سبعة أضعاف في احتمال استخدام استغلال في البرية.
ومع ذلك ، فإن إعطاء الأولوية للتصحيح ليس هو الطريقة الوحيدة التي يمكن أن يفيد بها التنبؤ بالاستغلال الشركات. يمكن لشركات التأمين الإلكتروني استخدام التنبؤ بالاستغلال كطريقة لتحديد المخاطر المحتملة لحاملي وثائق التأمين. بالإضافة إلى ذلك ، يمكن استخدام النموذج لتحليل البرامج قيد التطوير للعثور على أنماط قد تشير إلى ما إذا كان استغلال البرنامج أسهل أم أصعب ، كما يقول دوميتراو.
