کدام باگ های امنیتی مورد سوء استفاده قرار خواهند گرفت؟ محققان یک مدل ML ایجاد می کنند تا بفهمند

تیمی از محققان دانشگاهی با استفاده از یادگیری ماشینی که بر روی داده‌های بیش از دوجین منبع آموزش دیده‌اند، مدلی برای پیش‌بینی آسیب‌پذیری‌ها ایجاد کرده‌اند که احتمالاً منجر به یک سوءاستفاده عملکردی می‌شود، ابزاری بالقوه ارزشمند که می‌تواند به شرکت‌ها کمک کند تا بهتر تصمیم بگیرند کدام نقص‌های نرم‌افزار را اولویت‌بندی کنند.

این مدل که Expected Exploitability نام دارد، می‌تواند 60 درصد از آسیب‌پذیری‌هایی را که دارای اکسپلویت‌های عملکردی هستند، با دقت پیش‌بینی - یا «دقت» برای استفاده از اصطلاحات طبقه‌بندی - 86 درصد شناسایی کند. نکته کلیدی در این تحقیق، اجازه دادن به تغییرات در معیارهای خاص در طول زمان است، زیرا در زمان افشای یک آسیب‌پذیری، همه اطلاعات مرتبط در دسترس نیستند و استفاده از رویدادهای بعدی به محققان اجازه می‌دهد تا دقت پیش‌بینی را تقویت کنند.

با بهبود قابلیت پیش‌بینی بهره‌برداری، شرکت‌ها می‌توانند تعداد آسیب‌پذیری‌های موجود را کاهش دهند. برای وصله حیاتی تلقی می شودتودور دومیتراش، دانشیار مهندسی برق و کامپیوتر در دانشگاه مریلند در کالج پارک و یکی از نویسندگان مقاله تحقیقاتی که هفته گذشته در کنفرانس امنیتی USENIX منتشر شد، می‌گوید، اما این معیار کاربردهای دیگری نیز دارد.

او می‌گوید: «پیش‌بینی قابلیت بهره‌برداری فقط مربوط به شرکت‌هایی نیست که می‌خواهند وصله‌سازی را در اولویت قرار دهند، بلکه به شرکت‌های بیمه‌ای که در تلاش برای محاسبه سطوح ریسک هستند و توسعه‌دهندگان نیز مربوط می‌شود، زیرا این شاید گامی به سوی درک این باشد که چه چیزی یک آسیب‌پذیری را قابل بهره‌برداری می‌کند.»

La تحقیقات دانشگاه مریلند در کالج پارک و دانشگاه ایالتی آریزونا آخرین تلاش برای ارائه اطلاعات اضافی به شرکت ها در مورد آسیب پذیری هایی است که می توانند مورد سوء استفاده قرار گیرند یا احتمالاً مورد سوء استفاده قرار می گیرند. در سال 2018، محققان دانشگاه ایالتی آریزونا و موسسه علوم اطلاعات USC تمرکز بر تجزیه بحث های دارک وب برای یافتن عبارات و ویژگی هایی که می توان از آنها برای پیش بینی احتمال سوء استفاده از یک آسیب پذیری استفاده کرد. 

و در سال 2019، محققان شرکت تحقیقاتی داده سینتیا، شرکت RAND و ویرجینیا تک مدلی ارائه کردند که پیش بینی های بهبود یافته از آسیب پذیری هایی که توسط مهاجمان مورد سوء استفاده قرار می گیرند.

جی جاکوبز، دانشمند ارشد داده و یکی از بنیانگذاران موسسه سینتیا، می‌گوید بسیاری از سیستم‌ها به فرآیندهای دستی توسط تحلیلگران و محققان متکی هستند، اما معیار بهره‌برداری مورد انتظار می‌تواند کاملاً خودکار باشد.

او می‌گوید: «این تحقیق متفاوت است زیرا بر جمع‌آوری تمام سرنخ‌های ظریف به‌طور خودکار، پیوسته و بدون تکیه بر زمان و نظرات یک تحلیل‌گر تمرکز دارد». «همه اینها در زمان واقعی و در مقیاس انجام می شود. به راحتی می‌تواند با سیل آسیب‌پذیری‌هایی که هر روز افشا و منتشر می‌شوند، ادامه یابد و تکامل یابد.»

همه ویژگی‌ها در زمان افشا در دسترس نبودند، بنابراین این مدل باید زمان را نیز در نظر می‌گرفت و بر چالش به اصطلاح «صدای برچسب» غلبه می‌کرد. هنگامی که الگوریتم های یادگیری ماشینی از یک نقطه ایستا در زمان برای طبقه بندی الگوها استفاده می کنند - مثلاً به قابل بهره برداری و غیرقابل بهره برداری - اگر بعداً مشخص شود که برچسب نادرست است، این طبقه بندی می تواند کارایی الگوریتم را تضعیف کند.

PoCs: تجزیه اشکالات امنیتی برای بهره برداری

محققان از اطلاعات نزدیک به 103,000 آسیب‌پذیری استفاده کردند و سپس آن را با 48,709 اکسپلویت اثبات مفهوم (PoCs) جمع‌آوری‌شده از سه مخزن عمومی - ExploitDB، BugTraq و Vulners - مقایسه کردند. محققان همچنین بحث‌های رسانه‌های اجتماعی را برای کلمات کلیدی و نشانه‌ها - عباراتی از یک یا چند کلمه - استخراج کردند و همچنین مجموعه‌ای از داده‌ها از سوء استفاده‌های شناخته شده را ایجاد کردند.

به گفته محققان در این مقاله، با این حال، PoC ها همیشه شاخص خوبی از قابل بهره برداری بودن یک آسیب پذیری نیستند. 

محققان بیان کردند: «PoCها برای ایجاد آسیب‌پذیری با خراب کردن یا آویزان کردن برنامه هدف طراحی شده‌اند و اغلب مستقیماً قابل سلاح‌سازی نیستند». [ما مشاهده می‌کنیم که این منجر به بسیاری از موارد مثبت کاذب برای پیش‌بینی اکسپلویت‌های عملکردی می‌شود. در مقابل، ما متوجه می‌شویم که مشخصه‌های PoC خاص، مانند پیچیدگی کد، پیش‌بینی‌کننده‌های خوبی هستند، زیرا راه‌اندازی یک آسیب‌پذیری گامی ضروری برای هر اکسپلویت است، و این ویژگی‌ها را به طور علّی با مشکل ایجاد اکسپلویت‌های عملکردی مرتبط می‌کند.

دومیتراش خاطرنشان می‌کند که پیش‌بینی اینکه آیا یک آسیب‌پذیری مورد سوء استفاده قرار می‌گیرد یا خیر، دشواری بیشتری می‌افزاید، زیرا محققان باید مدلی از انگیزه‌های مهاجمان ایجاد کنند.

او می‌گوید: «اگر یک آسیب‌پذیری در طبیعت مورد سوء استفاده قرار گیرد، می‌دانیم که یک اکسپلویت عملکردی در آنجا وجود دارد، اما موارد دیگری را می‌شناسیم که در آن یک سوءاستفاده عملکردی وجود دارد، اما هیچ نمونه شناخته‌شده‌ای از بهره‌برداری در طبیعت وجود ندارد». آسیب‌پذیری‌هایی که دارای اکسپلویت عملکردی هستند، خطرناک هستند و بنابراین باید برای وصله‌سازی در اولویت قرار گیرند.»

تحقیقات منتشر شده توسط Kenna Security - که اکنون متعلق به سیسکو است - و موسسه Cyentia این را نشان داد وجود کد اکسپلویت عمومی منجر به افزایش هفت برابری شد به این احتمال که یک اکسپلویت در طبیعت استفاده شود.

با این حال اولویت بندی وصله تنها راهی نیست که پیش بینی بهره برداری می تواند برای کسب و کارها مفید باشد. شرکت‌های بیمه سایبری می‌توانند از پیش‌بینی بهره‌برداری به عنوان راهی برای تعیین خطر بالقوه برای دارندگان بیمه‌نامه استفاده کنند. دومیتراش می‌گوید علاوه بر این، این مدل می‌تواند برای تجزیه و تحلیل نرم‌افزار در حال توسعه برای یافتن الگوهایی استفاده شود که ممکن است نشان دهد بهره‌برداری از نرم‌افزار آسان‌تر یا سخت‌تر است.