Mithilfe von maschinellem Lernen, das auf Daten aus mehr als zwei Dutzend Quellen trainiert wurde, hat ein Team von Universitätsforschern ein Modell zur Vorhersage erstellt, welche Schwachstellen wahrscheinlich zu einem funktionalen Exploit führen werden, ein potenziell wertvolles Tool, das Unternehmen dabei helfen könnte, besser zu entscheiden, welche Softwarefehler priorisiert werden sollen.
Das Modell mit dem Namen „Expected Exploitability“ kann 60 % der Schwachstellen abfangen, die funktionale Exploits aufweisen, mit einer Vorhersagegenauigkeit – oder „Präzision“, um die Klassifizierungsterminologie zu verwenden – von 86 %. Ein Schlüssel zur Forschung besteht darin, Änderungen bestimmter Metriken im Laufe der Zeit zu berücksichtigen, da nicht alle relevanten Informationen zum Zeitpunkt der Offenlegung einer Schwachstelle verfügbar sind, und die Verwendung späterer Ereignisse ermöglichte es den Forschern, die Genauigkeit der Vorhersage zu verfeinern.
Durch die Verbesserung der Vorhersehbarkeit der Ausnutzung können Unternehmen die Anzahl der vorhandenen Schwachstellen reduzieren als kritisch für das Patchen angesehen, aber die Metrik hat auch andere Verwendungen, sagt Tudor Dumitraș, außerordentlicher Professor für Elektro- und Computertechnik an der University of Maryland in College Park und einer der Autoren des Forschungspapiers, das letzte Woche auf der USENIX-Sicherheitskonferenz veröffentlicht wurde.
„Die Vorhersage der Ausnutzbarkeit ist nicht nur für Unternehmen relevant, die dem Patchen Priorität einräumen möchten, sondern auch für Versicherungsunternehmen, die versuchen, Risikoniveaus zu berechnen, und für Entwickler, da dies möglicherweise ein Schritt ist, um zu verstehen, was eine Schwachstelle ausnutzbar macht“, sagt er.
Das Forschung an der University of Maryland at College Park und der Arizona State University ist der jüngste Versuch, Unternehmen zusätzliche Informationen darüber zu geben, welche Schwachstellen ausgenutzt werden könnten oder wahrscheinlich ausgenutzt werden. Im Jahr 2018 Forscher der Arizona State University und des USC Information Science Institute konzentrierte sich auf das Analysieren von Dark-Web-Diskussionen Ausdrücke und Merkmale zu finden, die verwendet werden könnten, um die Wahrscheinlichkeit vorherzusagen, dass eine Schwachstelle ausgenutzt wird oder wurde.
Und im Jahr 2019 stellten Forscher des Datenforschungsunternehmens Cyentia Institute, der RAND Corp. und Virginia Tech ein Modell vor verbesserte Vorhersagen darüber, welche Schwachstellen von Angreifern ausgenutzt würden.
Viele der Systeme verlassen sich auf manuelle Prozesse von Analysten und Forschern, aber die Kennzahl der erwarteten Ausnutzbarkeit kann vollständig automatisiert werden, sagt Jay Jacobs, Chief Data Scientist und Mitbegründer des Cyentia Institute.
„Diese Forschung ist anders, weil sie sich darauf konzentriert, alle subtilen Hinweise automatisch, konsequent und ohne sich auf die Zeit und Meinungen eines Analysten zu verlassen“, sagt er. „Dies geschieht alles in Echtzeit und in großem Umfang. Es kann problemlos mit der Flut von Schwachstellen Schritt halten und sich weiterentwickeln, die täglich offengelegt und veröffentlicht werden.“
Zum Zeitpunkt der Offenlegung waren nicht alle Funktionen verfügbar, daher musste das Modell auch die Zeit berücksichtigen und die Herausforderung des sogenannten „Etikettenrauschens“ überwinden. Wenn Algorithmen für maschinelles Lernen einen statischen Zeitpunkt verwenden, um Muster zu klassifizieren – beispielsweise in ausnutzbar und nicht ausnutzbar –, kann die Klassifizierung die Effektivität des Algorithmus untergraben, wenn sich die Bezeichnung später als falsch herausstellt.
PoCs: Analysieren von Sicherheitsfehlern für Ausnutzbarkeit
Die Forscher verwendeten Informationen zu fast 103,000 Schwachstellen und verglichen diese dann mit den 48,709 Proof-of-Concept (PoCs)-Exploits, die aus drei öffentlichen Repositories – ExploitDB, BugTraq und Vulners – gesammelt wurden, die Exploits für 21,849 der verschiedenen Schwachstellen darstellten. Die Forscher durchsuchten auch Social-Media-Diskussionen nach Schlüsselwörtern und Token – Phrasen aus einem oder mehreren Wörtern – und erstellten einen Datensatz bekannter Exploits.
Allerdings seien PoCs nicht immer ein guter Indikator dafür, ob eine Schwachstelle ausnutzbar sei, so die Forscher in dem Papier.
„PoCs wurden entwickelt, um die Schwachstelle auszulösen, indem sie die Zielanwendung zum Absturz bringen oder aufhängen, und sind oft nicht direkt waffenfähig“, erklärten die Forscher. „[W]ir stellen fest, dass dies zu vielen Fehlalarmen bei der Vorhersage funktionaler Exploits führt. Im Gegensatz dazu stellen wir fest, dass bestimmte PoC-Merkmale wie die Codekomplexität gute Prädiktoren sind, da das Auslösen einer Schwachstelle ein notwendiger Schritt für jeden Exploit ist, wodurch diese Merkmale kausal mit der Schwierigkeit der Erstellung funktionaler Exploits verbunden sind.“
Dumitraș merkt an, dass die Vorhersage, ob eine Schwachstelle ausgenutzt wird, zusätzliche Schwierigkeiten mit sich bringt, da die Forscher ein Modell der Motive der Angreifer erstellen müssten.
„Wenn eine Schwachstelle in freier Wildbahn ausgenutzt wird, wissen wir, dass es dort einen funktionalen Exploit gibt, aber wir kennen andere Fälle, in denen es einen funktionalen Exploit gibt, aber es gibt keinen bekannten Fall einer Ausnutzung in freier Wildbahn“, sagt er. „Schwachstellen, die einen funktionalen Exploit haben, sind gefährlich und sollten daher beim Patchen priorisiert werden.“
Eine von Kenna Security – jetzt im Besitz von Cisco – und dem Cyentia Institute veröffentlichte Studie hat das herausgefunden die Existenz von öffentlichem Exploit-Code führte zu einer Versiebenfachung in der Wahrscheinlichkeit, dass ein Exploit in freier Wildbahn verwendet wird.
Die Priorisierung von Patching ist jedoch nicht die einzige Möglichkeit, wie Unternehmen von der Exploit-Vorhersage profitieren können. Cyber-Versicherungsträger könnten die Exploit-Vorhersage nutzen, um das potenzielle Risiko für Versicherungsnehmer zu bestimmen. Darüber hinaus könnte das Modell zur Analyse von Software in der Entwicklung verwendet werden, um Muster zu finden, die darauf hindeuten könnten, ob die Software einfacher oder schwieriger zu nutzen ist, sagt Dumitraș.
