দুই ডজনেরও বেশি উত্স থেকে ডেটার উপর প্রশিক্ষণপ্রাপ্ত মেশিন লার্নিং ব্যবহার করে, বিশ্ববিদ্যালয়ের গবেষকদের একটি দল ভবিষ্যদ্বাণী করার জন্য একটি মডেল তৈরি করেছে যে কোন দুর্বলতাগুলি সম্ভবত কার্যকরী শোষণে পরিণত হবে, একটি সম্ভাব্য মূল্যবান টুল যা কোম্পানিগুলিকে কোন সফ্টওয়্যার ত্রুটিগুলিকে অগ্রাধিকার দিতে হবে তা আরও ভালভাবে সিদ্ধান্ত নিতে সাহায্য করতে পারে৷
প্রত্যাশিত শোষণযোগ্যতা নামক মডেলটি 60% দুর্বলতা ধরতে পারে যেগুলির কার্যকরী শোষণ থাকবে, একটি ভবিষ্যদ্বাণীর নির্ভুলতা - বা "নির্ভুলতা", শ্রেণীবিভাগের পরিভাষা ব্যবহার করার জন্য - 86%। গবেষণার একটি চাবিকাঠি হল সময়ের সাথে সাথে নির্দিষ্ট মেট্রিক্সে পরিবর্তনের অনুমতি দেওয়া, কারণ একটি দুর্বলতা প্রকাশের সময় সমস্ত প্রাসঙ্গিক তথ্য পাওয়া যায় না, এবং পরবর্তী ঘটনাগুলি ব্যবহার করে গবেষকরা ভবিষ্যদ্বাণীর যথার্থতাকে উন্নত করতে দেয়।
শোষণের পূর্বাভাসযোগ্যতা উন্নত করে, কোম্পানিগুলি দুর্বলতার সংখ্যা কমাতে পারে প্যাচিংয়ের জন্য গুরুত্বপূর্ণ বলে মনে করা হয়, কিন্তু মেট্রিকের অন্যান্য ব্যবহারও রয়েছে, বলেছেন Tudor Dumitraș, কলেজ পার্কের মেরিল্যান্ড বিশ্ববিদ্যালয়ের তড়িৎ ও কম্পিউটার প্রকৌশল বিভাগের একজন সহযোগী অধ্যাপক এবং গত সপ্তাহে USENIX নিরাপত্তা সম্মেলনে প্রকাশিত গবেষণা পত্রের অন্যতম লেখক।
"শোষণযোগ্যতার ভবিষ্যদ্বাণী শুধুমাত্র সেই কোম্পানিগুলির জন্য প্রাসঙ্গিক নয় যেগুলি প্যাচিংকে অগ্রাধিকার দিতে চায়, কিন্তু ঝুঁকির মাত্রা গণনা করার চেষ্টা করে এমন বীমা সংস্থাগুলি এবং বিকাশকারীদের জন্যও প্রাসঙ্গিক, কারণ এটি সম্ভবত একটি দুর্বলতাকে শোষণযোগ্য করে তোলে তা বোঝার দিকে একটি পদক্ষেপ," তিনি বলেছেন৷
সার্জারির কলেজ পার্কে মেরিল্যান্ড বিশ্ববিদ্যালয় এবং অ্যারিজোনা স্টেট ইউনিভার্সিটির গবেষণা কোম্পানীগুলিকে অতিরিক্ত তথ্য দেওয়ার সর্বশেষ প্রচেষ্টা যা দুর্বলতাগুলি হতে পারে বা হতে পারে, শোষিত হতে পারে৷ 2018 সালে, অ্যারিজোনা স্টেট ইউনিভার্সিটি এবং ইউএসসি ইনফরমেশন সায়েন্স ইনস্টিটিউটের গবেষকরা ডার্ক ওয়েব আলোচনা পার্সিং উপর ফোকাস শব্দগুচ্ছ এবং বৈশিষ্ট্যগুলি খুঁজে বের করতে যা একটি দুর্বলতার সম্ভাবনা বা শোষিত হওয়ার সম্ভাবনা ভবিষ্যদ্বাণী করতে ব্যবহার করা যেতে পারে।
এবং 2019 সালে, ডেটা-গবেষণা সংস্থা সাইনটিয়া ইনস্টিটিউট, র্যান্ড কর্পোরেশন এবং ভার্জিনিয়া টেকের গবেষকরা একটি মডেল উপস্থাপন করেছেন যা উন্নত ভবিষ্যদ্বাণী যার দুর্বলতা আক্রমণকারীদের দ্বারা কাজে লাগানো হবে.
অনেক সিস্টেম বিশ্লেষক এবং গবেষকদের ম্যানুয়াল প্রক্রিয়ার উপর নির্ভর করে, কিন্তু প্রত্যাশিত শোষণের মেট্রিক সম্পূর্ণরূপে স্বয়ংক্রিয় হতে পারে, জে জ্যাকবস, প্রধান তথ্য বিজ্ঞানী এবং সাইনটিয়া ইনস্টিটিউটের সহ-প্রতিষ্ঠাতা বলেছেন।
"এই গবেষণাটি ভিন্ন কারণ এটি একটি বিশ্লেষকের সময় এবং মতামতের উপর নির্ভর না করে, ধারাবাহিকভাবে এবং স্বয়ংক্রিয়ভাবে সমস্ত সূক্ষ্ম সূত্রগুলি বাছাই করার উপর দৃষ্টি নিবদ্ধ করে," তিনি বলেছেন। “[টি] তার সবই বাস্তব সময়ে এবং স্কেলে করা হয়। এটি সহজেই বজায় রাখতে পারে এবং দুর্বলতার বন্যার সাথে প্রতিদিন প্রকাশ এবং প্রকাশিত হতে পারে।"
প্রকাশের সময় সমস্ত বৈশিষ্ট্য উপলব্ধ ছিল না, তাই মডেলটিকেও সময় বিবেচনা করতে হয়েছিল এবং তথাকথিত "লেবেল নয়েজ" এর চ্যালেঞ্জকে অতিক্রম করতে হয়েছিল। যখন মেশিন-লার্নিং অ্যালগরিদমগুলি নিদর্শনগুলিকে শ্রেণীবদ্ধ করার জন্য সময়মতো একটি স্থির বিন্দু ব্যবহার করে — বলুন, শোষণযোগ্য এবং অশোষণযোগ্য — শ্রেণীবিভাগ অ্যালগরিদমের কার্যকারিতাকে হ্রাস করতে পারে, যদি লেবেলটি পরে ভুল বলে প্রমাণিত হয়।
PoCs: শোষণের জন্য নিরাপত্তা বাগ পার্সিং
গবেষকরা প্রায় 103,000 দুর্বলতার উপর তথ্য ব্যবহার করেছেন, এবং তারপরে তিনটি পাবলিক রিপোজিটরি থেকে সংগৃহীত 48,709 প্রুফ-অফ-কনসেপ্ট (PoCs) শোষণের সাথে তুলনা করেছেন - ExploitDB, BugTraq, এবং Vulners - যা 21,849টি স্বতন্ত্রতার জন্য শোষণের প্রতিনিধিত্ব করে। গবেষকরা কীওয়ার্ড এবং টোকেনগুলির জন্য সোশ্যাল-মিডিয়া আলোচনাগুলিও খনন করেছেন — এক বা একাধিক শব্দের বাক্যাংশ — সেইসাথে পরিচিত শোষণের একটি ডেটা সেট তৈরি করেছেন।
যাইহোক, PoCs সর্বদা একটি দুর্বলতা শোষণযোগ্য কিনা তার একটি ভাল সূচক নয়, গবেষকরা গবেষণাপত্রে বলেছেন।
"PoCs টার্গেট অ্যাপ্লিকেশন ক্র্যাশ বা ঝুলিয়ে দুর্বলতা ট্রিগার করার জন্য ডিজাইন করা হয়েছে এবং প্রায়শই সরাসরি অস্ত্রোপচারযোগ্য নয়," গবেষকরা বলেছেন। “[W] আমি লক্ষ্য করি যে এটি কার্যকরী শোষণের পূর্বাভাস দেওয়ার জন্য অনেক মিথ্যা ইতিবাচক দিকে নিয়ে যায়। বিপরীতে, আমরা আবিষ্কার করেছি যে কিছু PoC বৈশিষ্ট্য, যেমন কোড জটিলতা, ভাল ভবিষ্যদ্বাণীকারী, কারণ একটি দুর্বলতাকে ট্রিগার করা প্রতিটি শোষণের জন্য একটি প্রয়োজনীয় পদক্ষেপ, এই বৈশিষ্ট্যগুলি কার্যকারক শোষণ তৈরি করার অসুবিধার সাথে কার্যকারণভাবে সংযুক্ত করে।"
ডুমিত্রাস নোট করেছেন যে একটি দুর্বলতা কাজে লাগানো হবে কিনা তা ভবিষ্যদ্বাণী করা অতিরিক্ত অসুবিধা যোগ করে, কারণ গবেষকদের আক্রমণকারীদের উদ্দেশ্যের একটি মডেল তৈরি করতে হবে।
"যদি বন্য অঞ্চলে একটি দুর্বলতা শোষণ করা হয়, তবে আমরা জানি যে সেখানে একটি কার্যকরী শোষণ আছে, তবে আমরা অন্যান্য ক্ষেত্রে জানি যেখানে একটি কার্যকরী শোষণ আছে, তবে বন্যের মধ্যে শোষণের কোনও পরিচিত উদাহরণ নেই," তিনি বলেছেন। "একটি কার্যকরী শোষণের দুর্বলতাগুলি বিপজ্জনক এবং তাই প্যাচিংয়ের জন্য তাদের অগ্রাধিকার দেওয়া উচিত।"
কেননা সিকিউরিটি দ্বারা প্রকাশিত গবেষণা - এখন সিসকোর মালিকানাধীন - এবং সাইনটিয়া ইনস্টিটিউট এটি খুঁজে পেয়েছে পাবলিক এক্সপ্লয়েট কোডের অস্তিত্ব সাতগুণ বৃদ্ধির দিকে পরিচালিত করে সম্ভাবনা যে একটি শোষণ বন্য ব্যবহার করা হবে.
তবুও প্যাচিংকে অগ্রাধিকার দেওয়াই একমাত্র উপায় নয় যা শোষণের পূর্বাভাস ব্যবসাকে উপকৃত করতে পারে। সাইবার-বীমা ক্যারিয়ারগুলি পলিসি হোল্ডারদের জন্য সম্ভাব্য ঝুঁকি নির্ধারণের উপায় হিসাবে শোষণ পূর্বাভাস ব্যবহার করতে পারে। এছাড়াও, মডেলটি সফ্টওয়্যারটি ব্যবহার করার জন্য সফ্টওয়্যারটি ব্যবহার করা সহজ, নাকি কঠিন, এমন নিদর্শন খুঁজে বের করার জন্য ব্যবহার করা যেতে পারে, ডুমিত্রাস বলেছেন।
