Kasutades enam kui kahekümnest allikast pärit andmete põhjal koolitatud masinõpet, on ülikoolide teadlaste meeskond loonud mudeli, mis võimaldab ennustada, millised haavatavused põhjustavad tõenäoliselt funktsionaalse ärakasutamise – potentsiaalselt väärtusliku tööriista, mis võib aidata ettevõtetel paremini otsustada, milliseid tarkvaravigu eelistada.
Mudel, mille nimi on Expected Exploitability, suudab tabada 60% haavatavustest, millel on funktsionaalseid ärakasutusi, ennustustäpsusega või klassifitseerimisterminoloogiat kasutades "täpsusega" on 86%. Uurimistöö võti on lubada teatud mõõdikutes aja jooksul muudatusi, kuna haavatavuse avalikustamise ajal ei ole kogu asjakohane teave saadaval ja hilisemate sündmuste kasutamine võimaldas teadlastel ennustuse täpsust lihvida.
Parandades ärakasutamise prognoositavust, saavad ettevõtted vähendada olemasolevate haavatavuste arvu peetakse lappimise jaoks kriitiliseks, kuid mõõdikul on ka muid kasutusviise, ütleb Tudor Dumitraș, College Parki Marylandi ülikooli elektri- ja arvutitehnika dotsent ja üks eelmisel nädalal USENIXi turvakonverentsil avaldatud uurimistöö autoreid.
"Kasutatavuse prognoosimine ei ole oluline mitte ainult ettevõtetele, kes soovivad eelistada paikamist, vaid ka kindlustusseltsidele, kes püüavad arvutada riskitaset, ja arendajatele, sest see on võib-olla samm selle poole, et mõista, mis muudab haavatavuse kasutatavaks," ütleb ta.
. Marylandi ülikool College Parkis ja Arizona osariigi ülikooli uuringud on viimane katse anda ettevõtetele lisateavet selle kohta, milliseid turvaauke võidakse ära kasutada või tõenäoliselt kasutatakse. 2018. aastal Arizona osariigi ülikooli ja USC infoteaduste instituudi teadlased keskendunud Dark Web arutelude sõelumisele et leida fraase ja funktsioone, mida saaks kasutada haavatavuse ärakasutamise või ärakasutamise tõenäosuse ennustamiseks.
Ja 2019. aastal esitlesid andmeuuringute ettevõtte Cyentia Institute, RAND Corp. ja Virginia Tech teadlased mudelit, mis täiustatud prognoosid selle kohta, milliseid turvaauke ründajad ära kasutavad.
Paljud süsteemid toetuvad analüütikute ja teadlaste käsitsi teostatavatele protsessidele, kuid eeldatava ekspluateeritavuse mõõdikut saab täielikult automatiseerida, ütleb Cyentia Instituudi andmeteadlane ja kaasasutaja Jay Jacobs.
"See uuring on erinev, kuna see keskendub kõigi peente vihjete automaatsele, järjepidevale ja analüütiku ajale ja arvamustele tuginemata kogumisele, " ütleb ta. „[T]see kõik toimub reaalajas ja mastaabis. See võib kergesti sammu pidada ja areneda haavatavuste tulvaga, mida iga päev avalikustatakse ja avaldatakse.
Kõik funktsioonid ei olnud avalikustamise ajal saadaval, seega pidi mudel arvestama ka ajaga ja ületama niinimetatud "sildimüra". Kui masinõppe algoritmid kasutavad mustrite klassifitseerimiseks staatilist ajahetke – näiteks kasutatavateks ja mittekasutatavateks –, võib klassifikatsioon kahjustada algoritmi tõhusust, kui silt hiljem selgub, et see on vale.
PoC-d: turvavigade parsimine kasutatavuse tagamiseks
Uurijad kasutasid teavet peaaegu 103,000 48,709 haavatavuse kohta ja võrdlesid seda seejärel 21,849 XNUMX kontseptsiooni tõendi (PoC) ärakasutamisega, mis koguti kolmest avalikust hoidlast – ExploitDB, BugTraq ja Vulners –, mis esindasid XNUMX XNUMX erineva haavatavuse ärakasutamist. Teadlased kaevandasid ka sotsiaalmeedia arutelusid märksõnade ja märkide (ühest või mitmest sõnast koosnevate fraaside) jaoks ning lõid teadaolevate ärakasutamiste andmestiku.
Siiski ei ole PoC-d alati hea näitaja selle kohta, kas haavatavus on ärakasutatav, ütlesid teadlased.
"PoC-d on loodud haavatavuse vallandamiseks sihtrakenduse krahhi või riputamise teel ja sageli ei ole need otseselt relvastatavad," märkisid teadlased. "[Me] täheldame, et see toob kaasa palju valepositiivseid tulemusi funktsionaalsete ärakasutuste ennustamisel. Seevastu avastame, et teatud PoC omadused, nagu koodi keerukus, on head ennustajad, kuna haavatavuse käivitamine on iga ärakasutamise jaoks vajalik samm, muutes need funktsioonid põhjuslikuks seoseks funktsionaalsete ärakasutamiste loomise raskustega.
Dumitraș märgib, et haavatavuse ärakasutamise ennustamine tekitab täiendavaid raskusi, kuna teadlased peaksid looma ründajate motiivide mudeli.
"Kui haavatavust kasutatakse looduses ära, siis me teame, et seal on funktsionaalne ärakasutamine, kuid me teame ka teisi juhtumeid, kus on olemas funktsionaalne ärakasutamine, kuid looduses ekspluateerimise juhtumeid pole teada," ütleb ta. "Funktsionaalse ärakasutamisega haavatavused on ohtlikud ja seetõttu tuleks neid parandada."
Kenna Security (mis nüüd kuulub Ciscole) ja Cyentia Instituudi avaldatud uuringud leidsid selle avaliku ärakasutamiskoodi olemasolu tõi kaasa seitsmekordse kasvu tõenäosusega, et ärakasutamist kasutatakse looduses.
Ometi ei ole paikade prioriteedi seadmine ainus viis, kuidas ärakasutamise ennustus võib ettevõtetele kasu tuua. Küberkindlustuse pakkujad võiksid kasutada ärakasutamise ennustamist kindlustusvõtjate võimaliku riski kindlaksmääramiseks. Lisaks saab mudelit kasutada arendatava tarkvara analüüsimiseks, et leida mustreid, mis võivad näidata, kas tarkvara on lihtsam või raskem kasutada, ütleb Dumitraș.
