Ved at bruge maskinlæring trænet på data fra mere end to dusin kilder har et team af universitetsforskere skabt en model til at forudsige, hvilke sårbarheder der sandsynligvis vil resultere i en funktionel udnyttelse, et potentielt værdifuldt værktøj, der kan hjælpe virksomheder med bedre at beslutte, hvilke softwarefejl, der skal prioriteres.
Modellen, kaldet Expected Exploitability, kan fange 60% af de sårbarheder, der vil have funktionelle udnyttelser, med en forudsigelsesnøjagtighed - eller "præcision", for at bruge klassifikationsterminologi - på 86%. En nøgle til forskningen er at tillade ændringer i visse målinger over tid, fordi ikke al relevant information er tilgængelig på det tidspunkt, hvor en sårbarhed afsløres, og ved at bruge senere hændelser tillod forskerne at finpudse forudsigelsens nøjagtighed.
Ved at forbedre forudsigeligheden af udnyttelse kan virksomheder reducere antallet af sårbarheder, der er anses for at være kritisk for patching, men metrikken har også andre anvendelser, siger Tudor Dumitraș, en lektor i elektro- og computerteknik ved University of Maryland i College Park, og en af forfatterne til forskningspapiret, der blev offentliggjort i sidste uge på USENIX Security Conference.
"Udnyttelighedsforudsigelse er ikke kun relevant for virksomheder, der ønsker at prioritere patching, men også for forsikringsselskaber, der forsøger at beregne risikoniveauer og for udviklere, fordi dette måske er et skridt i retning af at forstå, hvad der gør en sårbarhed udnyttelig," siger han.
University of Maryland ved College Park og Arizona State University forskning er det seneste forsøg på at give virksomheder yderligere information om, hvilke sårbarheder der kan eller sandsynligvis vil blive udnyttet. I 2018, forskere fra Arizona State University og USC Information Science Institute fokuseret på at analysere Dark Web-diskussioner at finde sætninger og funktioner, der kunne bruges til at forudsige sandsynligheden for, at en sårbarhed ville blive eller var blevet udnyttet.
Og i 2019 præsenterede forskere fra dataforskningsfirmaet Cyentia Institute, RAND Corp. og Virginia Tech en model, der forbedrede forudsigelser om, hvilke sårbarheder der ville blive udnyttet af angribere.
Mange af systemerne er afhængige af manuelle processer fra analytikere og forskere, men Expected Exploitability-metrikken kan automatiseres fuldstændigt, siger Jay Jacobs, chefdataforsker og medstifter ved Cyentia Institute.
"Denne forskning er anderledes, fordi den fokuserer på at opfange alle de subtile spor automatisk, konsekvent og uden at stole på en analytikers tid og meninger," siger han. "[Det] er alt sammen gjort i realtid og i skala. Det kan nemt følge med og udvikle sig med den strøm af sårbarheder, der bliver afsløret og offentliggjort dagligt."
Ikke alle funktionerne var tilgængelige på tidspunktet for offentliggørelsen, så modellen skulle også tage tid i betragtning og overvinde udfordringen med såkaldt "labelstøj". Når maskinlæringsalgoritmer bruger et statisk tidspunkt til at klassificere mønstre - i f.eks. udnyttelige og ikke-udnyttelige - kan klassificeringen underminere effektiviteten af algoritmen, hvis etiketten senere viser sig at være forkert.
PoCs: Parsing af sikkerhedsfejl til udnyttelse
Forskerne brugte information om næsten 103,000 sårbarheder og sammenlignede det med de 48,709 proofs-of-concept (PoC'er) udnyttelser indsamlet fra tre offentlige arkiver - ExploitDB, BugTraq og Vulners - som repræsenterede udnyttelser for 21,849 af de forskellige sårbarheder. Forskerne minede også diskussioner på sociale medier efter nøgleord og tokens - sætninger af et eller flere ord - samt skabte et datasæt af kendte udnyttelser.
PoC'er er dog ikke altid en god indikator for, om en sårbarhed kan udnyttes, sagde forskerne i papiret.
"PoC'er er designet til at udløse sårbarheden ved at crashe eller hænge målapplikationen og er ofte ikke direkte våbenbare," udtalte forskerne. "[vi] observerer, at dette fører til mange falske positiver til at forudsige funktionelle udnyttelser. I modsætning hertil opdager vi, at visse PoC-karakteristika, såsom kodekompleksiteten, er gode forudsigere, fordi udløsning af en sårbarhed er et nødvendigt skridt for enhver udnyttelse, hvilket gør disse funktioner kausalt forbundet med vanskeligheden ved at skabe funktionelle udnyttelser."
Dumitraș bemærker, at forudsigelse af, om en sårbarhed vil blive udnyttet, tilføjer yderligere vanskeligheder, da forskerne bliver nødt til at skabe en model for angribernes motiver.
"Hvis en sårbarhed udnyttes i naturen, så ved vi, at der er en funktionel udnyttelse der, men vi kender andre tilfælde, hvor der er en funktionel udnyttelse, men der er ingen kendte tilfælde af udnyttelse i naturen," siger han. "Sårbarheder, der har en funktionel udnyttelse, er farlige, og derfor bør de prioriteres til patching."
Forskning udgivet af Kenna Security - nu ejet af Cisco - og Cyentia Institute fandt det eksistensen af offentlig udnyttelseskode førte til en syvdobling med sandsynlighed for, at en udnyttelse ville blive brugt i naturen.
Alligevel er prioritering af patching ikke den eneste måde, hvorpå udnyttelsesforudsigelsen kan gavne virksomheder. Cyberforsikringsselskaber kunne bruge forudsigelse af udnyttelse som en måde at bestemme den potentielle risiko for forsikringstagere. Derudover kunne modellen bruges til at analysere software under udvikling for at finde mønstre, der kan indikere, om softwaren er nemmere eller sværere at udnytte, siger Dumitraș.
