Ποια σφάλματα ασφαλείας θα αξιοποιηθούν; Οι ερευνητές δημιουργούν ένα μοντέλο ML για να το ανακαλύψουν

Χρησιμοποιώντας μηχανική εκμάθηση που έχει εκπαιδευτεί σε δεδομένα από περισσότερες από δύο δωδεκάδες πηγές, μια ομάδα πανεπιστημιακών ερευνητών δημιούργησε ένα μοντέλο για την πρόβλεψη ποιες ευπάθειες θα οδηγήσουν πιθανώς σε ένα λειτουργικό exploit, ένα δυνητικά πολύτιμο εργαλείο που θα μπορούσε να βοηθήσει τις εταιρείες να αποφασίσουν καλύτερα ποια ελαττώματα λογισμικού θα δώσουν προτεραιότητα.

Το μοντέλο, που ονομάζεται Expected Exploitability, μπορεί να συλλάβει το 60% των τρωτών σημείων που θα έχουν λειτουργικές εκμεταλλεύσεις, με ακρίβεια πρόβλεψης —ή «ακρίβεια», για να χρησιμοποιήσω την ορολογία ταξινόμησης — 86%. Το κλειδί για την έρευνα είναι να επιτραπούν αλλαγές σε ορισμένες μετρήσεις με την πάροδο του χρόνου, επειδή δεν είναι διαθέσιμες όλες οι σχετικές πληροφορίες τη στιγμή που αποκαλύπτεται μια ευπάθεια και η χρήση μεταγενέστερων γεγονότων επέτρεψε στους ερευνητές να βελτιώσουν την ακρίβεια της πρόβλεψης.

Βελτιώνοντας την προβλεψιμότητα της εκμετάλλευσης, οι εταιρείες μπορούν να μειώσουν τον αριθμό των τρωτών σημείων που θεωρείται κρίσιμο για επιδιόρθωση, αλλά η μέτρηση έχει και άλλες χρήσεις, λέει ο Tudor Dumitraș, αναπληρωτής καθηγητής ηλεκτρολογίας και μηχανικής υπολογιστών στο Πανεπιστήμιο του Maryland στο College Park, και ένας από τους συγγραφείς της ερευνητικής εργασίας που δημοσιεύτηκε την περασμένη εβδομάδα στο USENIX Security Conference.

«Η πρόβλεψη εκμεταλλευσιμότητας δεν σχετίζεται μόνο με εταιρείες που θέλουν να δώσουν προτεραιότητα στο patching, αλλά και σε ασφαλιστικές εταιρείες που προσπαθούν να υπολογίσουν τα επίπεδα κινδύνου και στους προγραμματιστές, γιατί αυτό είναι ίσως ένα βήμα προς την κατανόηση του τι κάνει μια ευπάθεια εκμεταλλεύσιμη», λέει.

Η Έρευνα του Πανεπιστημίου του Maryland στο College Park και του κρατικού πανεπιστημίου της Αριζόνα είναι η πιο πρόσφατη προσπάθεια να δοθούν στις εταιρείες πρόσθετες πληροφορίες σχετικά με το ποιες ευπάθειες θα μπορούσαν ή είναι πιθανό να αξιοποιηθούν. Το 2018, ερευνητές από το Πολιτειακό Πανεπιστήμιο της Αριζόνα και το Ινστιτούτο Επιστήμης Πληροφοριών του USC επικεντρώθηκε στην ανάλυση των συζητήσεων του Dark Web για να βρείτε φράσεις και χαρακτηριστικά που θα μπορούσαν να χρησιμοποιηθούν για την πρόβλεψη της πιθανότητας εκμετάλλευσης μιας ευπάθειας ή είχε γίνει αντικείμενο εκμετάλλευσης. 

Και το 2019, ερευνητές από την εταιρεία έρευνας δεδομένων Cyentia Institute, την RAND Corp. και τη Virginia Tech παρουσίασαν ένα μοντέλο που βελτιωμένες προβλέψεις για το ποιες ευπάθειες θα μπορούσαν να εκμεταλλευτούν οι εισβολείς.

Πολλά από τα συστήματα βασίζονται σε μη αυτόματες διαδικασίες από αναλυτές και ερευνητές, αλλά η μέτρηση Expected Exploitability μπορεί να είναι πλήρως αυτοματοποιημένη, λέει ο Jay Jacobs, επικεφαλής επιστήμονας δεδομένων και συνιδρυτής στο Cyentia Institute.

«Αυτή η έρευνα είναι διαφορετική γιατί επικεντρώνεται στην αυτόματη συλλογή όλων των λεπτών ενδείξεων, με συνέπεια και χωρίς να βασίζεται στον χρόνο και τις απόψεις ενός αναλυτή», λέει. «[Τ]όλα αυτά γίνονται σε πραγματικό χρόνο και σε κλίμακα. Μπορεί εύκολα να συμβαδίσει και να εξελιχθεί με την πλημμύρα των τρωτών σημείων που αποκαλύπτονται και δημοσιεύονται καθημερινά».

Δεν ήταν όλα τα χαρακτηριστικά διαθέσιμα τη στιγμή της αποκάλυψης, επομένως το μοντέλο έπρεπε επίσης να λάβει υπόψη τον χρόνο και να ξεπεράσει την πρόκληση του λεγόμενου "θορύβου ετικέτας". Όταν οι αλγόριθμοι μηχανικής μάθησης χρησιμοποιούν ένα στατικό χρονικό σημείο για να ταξινομήσουν τα μοτίβα — για παράδειγμα, σε εκμεταλλεύσιμα και μη εκμεταλλεύσιμα — η ταξινόμηση μπορεί να υπονομεύσει την αποτελεσματικότητα του αλγορίθμου, εάν αργότερα διαπιστωθεί ότι η ετικέτα είναι λανθασμένη.

PoCs: Ανάλυση σφαλμάτων ασφαλείας για εκμεταλλευσιμότητα

Οι ερευνητές χρησιμοποίησαν πληροφορίες για σχεδόν 103,000 τρωτά σημεία και στη συνέχεια τα συνέκριναν με τα 48,709 proofs-of-concept (PoCs) exploits που συλλέχθηκαν από τρία δημόσια αποθετήρια — ExploitDB, BugTraq και Vulners — τα οποία αντιπροσώπευαν εκμεταλλεύσεις για 21,849 διαφορετικά σημεία. Οι ερευνητές εξόρυξαν επίσης συζητήσεις στα μέσα κοινωνικής δικτύωσης για λέξεις-κλειδιά και διακριτικά - φράσεις μιας ή περισσότερων λέξεων - καθώς και δημιούργησαν ένα σύνολο δεδομένων γνωστών εκμεταλλεύσεων.

Ωστόσο, τα PoC δεν είναι πάντα ένας καλός δείκτης για το εάν μια ευπάθεια είναι εκμεταλλεύσιμη, είπαν οι ερευνητές στην εργασία. 

«Τα PoC έχουν σχεδιαστεί για να ενεργοποιούν την ευπάθεια συντρίβοντας ή αναρτώντας την εφαρμογή στόχου και συχνά δεν μπορούν να οπλιστούν άμεσα», δήλωσαν οι ερευνητές. «[Παρατηρούμε] ότι αυτό οδηγεί σε πολλά ψευδώς θετικά για την πρόβλεψη λειτουργικών εκμεταλλεύσεων. Αντίθετα, ανακαλύπτουμε ότι ορισμένα χαρακτηριστικά PoC, όπως η πολυπλοκότητα του κώδικα, είναι καλοί παράγοντες πρόβλεψης, επειδή η ενεργοποίηση μιας ευπάθειας είναι ένα απαραίτητο βήμα για κάθε εκμετάλλευση, καθιστώντας αυτά τα χαρακτηριστικά συνδεδεμένα αιτιολογικά με τη δυσκολία δημιουργίας λειτουργικών εκμεταλλεύσεων.

Ο Dumitraş σημειώνει ότι η πρόβλεψη εάν θα γίνει εκμετάλλευση μιας ευπάθειας προσθέτει επιπλέον δυσκολία, καθώς οι ερευνητές θα πρέπει να δημιουργήσουν ένα μοντέλο κινήτρων των επιτιθέμενων.

«Αν μια ευπάθεια εκμεταλλευτεί στη φύση, τότε γνωρίζουμε ότι υπάρχει μια λειτουργική εκμετάλλευση, αλλά γνωρίζουμε άλλες περιπτώσεις όπου υπάρχει λειτουργική εκμετάλλευση, αλλά δεν υπάρχει γνωστή περίπτωση εκμετάλλευσης στη φύση», λέει. «Τα τρωτά σημεία που έχουν λειτουργική εκμετάλλευση είναι επικίνδυνα και επομένως θα πρέπει να δίνονται προτεραιότητα για επιδιόρθωση».

Έρευνα που δημοσιεύτηκε από την Kenna Security —που τώρα ανήκει στη Cisco— και το Ινστιτούτο Cyentia το διαπίστωσε η ύπαρξη δημόσιου κώδικα εκμετάλλευσης οδήγησε σε επταπλάσια αύξηση με την πιθανότητα να χρησιμοποιηθεί ένα exploit στη φύση.

Ωστόσο, η ιεράρχηση της ενημέρωσης κώδικα δεν είναι ο μόνος τρόπος με τον οποίο η πρόβλεψη του exploit μπορεί να ωφελήσει τις επιχειρήσεις. Οι φορείς ασφάλισης στον κυβερνοχώρο θα μπορούσαν να χρησιμοποιήσουν την πρόβλεψη εκμετάλλευσης ως τρόπο προσδιορισμού του πιθανού κινδύνου για τους κατόχους συμβολαίων. Επιπλέον, το μοντέλο θα μπορούσε να χρησιμοποιηθεί για την ανάλυση λογισμικού υπό ανάπτυξη για την εύρεση μοτίβων που θα μπορούσαν να υποδεικνύουν εάν το λογισμικό είναι ευκολότερο ή δυσκολότερο στην εκμετάλλευση, λέει ο Dumitraș.