تیمی از محققان دانشگاهی با استفاده از یادگیری ماشینی که بر روی دادههای بیش از دوجین منبع آموزش دیدهاند، مدلی برای پیشبینی آسیبپذیریها ایجاد کردهاند که احتمالاً منجر به یک سوءاستفاده عملکردی میشود، ابزاری بالقوه ارزشمند که میتواند به شرکتها کمک کند تا بهتر تصمیم بگیرند کدام نقصهای نرمافزار را اولویتبندی کنند.
این مدل که Expected Exploitability نام دارد، میتواند 60 درصد از آسیبپذیریهایی را که دارای اکسپلویتهای عملکردی هستند، با دقت پیشبینی - یا «دقت» برای استفاده از اصطلاحات طبقهبندی - 86 درصد شناسایی کند. نکته کلیدی در این تحقیق، اجازه دادن به تغییرات در معیارهای خاص در طول زمان است، زیرا در زمان افشای یک آسیبپذیری، همه اطلاعات مرتبط در دسترس نیستند و استفاده از رویدادهای بعدی به محققان اجازه میدهد تا دقت پیشبینی را تقویت کنند.
با بهبود قابلیت پیشبینی بهرهبرداری، شرکتها میتوانند تعداد آسیبپذیریهای موجود را کاهش دهند. برای وصله حیاتی تلقی می شودتودور دومیتراش، دانشیار مهندسی برق و کامپیوتر در دانشگاه مریلند در کالج پارک و یکی از نویسندگان مقاله تحقیقاتی که هفته گذشته در کنفرانس امنیتی USENIX منتشر شد، میگوید، اما این معیار کاربردهای دیگری نیز دارد.
او میگوید: «پیشبینی قابلیت بهرهبرداری فقط مربوط به شرکتهایی نیست که میخواهند وصلهسازی را در اولویت قرار دهند، بلکه به شرکتهای بیمهای که در تلاش برای محاسبه سطوح ریسک هستند و توسعهدهندگان نیز مربوط میشود، زیرا این شاید گامی به سوی درک این باشد که چه چیزی یک آسیبپذیری را قابل بهرهبرداری میکند.»
La تحقیقات دانشگاه مریلند در کالج پارک و دانشگاه ایالتی آریزونا آخرین تلاش برای ارائه اطلاعات اضافی به شرکت ها در مورد آسیب پذیری هایی است که می توانند مورد سوء استفاده قرار گیرند یا احتمالاً مورد سوء استفاده قرار می گیرند. در سال 2018، محققان دانشگاه ایالتی آریزونا و موسسه علوم اطلاعات USC تمرکز بر تجزیه بحث های دارک وب برای یافتن عبارات و ویژگی هایی که می توان از آنها برای پیش بینی احتمال سوء استفاده از یک آسیب پذیری استفاده کرد.
و در سال 2019، محققان شرکت تحقیقاتی داده سینتیا، شرکت RAND و ویرجینیا تک مدلی ارائه کردند که پیش بینی های بهبود یافته از آسیب پذیری هایی که توسط مهاجمان مورد سوء استفاده قرار می گیرند.
جی جاکوبز، دانشمند ارشد داده و یکی از بنیانگذاران موسسه سینتیا، میگوید بسیاری از سیستمها به فرآیندهای دستی توسط تحلیلگران و محققان متکی هستند، اما معیار بهرهبرداری مورد انتظار میتواند کاملاً خودکار باشد.
او میگوید: «این تحقیق متفاوت است زیرا بر جمعآوری تمام سرنخهای ظریف بهطور خودکار، پیوسته و بدون تکیه بر زمان و نظرات یک تحلیلگر تمرکز دارد». «همه اینها در زمان واقعی و در مقیاس انجام می شود. به راحتی میتواند با سیل آسیبپذیریهایی که هر روز افشا و منتشر میشوند، ادامه یابد و تکامل یابد.»
همه ویژگیها در زمان افشا در دسترس نبودند، بنابراین این مدل باید زمان را نیز در نظر میگرفت و بر چالش به اصطلاح «صدای برچسب» غلبه میکرد. هنگامی که الگوریتم های یادگیری ماشینی از یک نقطه ایستا در زمان برای طبقه بندی الگوها استفاده می کنند - مثلاً به قابل بهره برداری و غیرقابل بهره برداری - اگر بعداً مشخص شود که برچسب نادرست است، این طبقه بندی می تواند کارایی الگوریتم را تضعیف کند.
PoCs: تجزیه اشکالات امنیتی برای بهره برداری
محققان از اطلاعات نزدیک به 103,000 آسیبپذیری استفاده کردند و سپس آن را با 48,709 اکسپلویت اثبات مفهوم (PoCs) جمعآوریشده از سه مخزن عمومی - ExploitDB، BugTraq و Vulners - مقایسه کردند. محققان همچنین بحثهای رسانههای اجتماعی را برای کلمات کلیدی و نشانهها - عباراتی از یک یا چند کلمه - استخراج کردند و همچنین مجموعهای از دادهها از سوء استفادههای شناخته شده را ایجاد کردند.
به گفته محققان در این مقاله، با این حال، PoC ها همیشه شاخص خوبی از قابل بهره برداری بودن یک آسیب پذیری نیستند.
محققان بیان کردند: «PoCها برای ایجاد آسیبپذیری با خراب کردن یا آویزان کردن برنامه هدف طراحی شدهاند و اغلب مستقیماً قابل سلاحسازی نیستند». [ما مشاهده میکنیم که این منجر به بسیاری از موارد مثبت کاذب برای پیشبینی اکسپلویتهای عملکردی میشود. در مقابل، ما متوجه میشویم که مشخصههای PoC خاص، مانند پیچیدگی کد، پیشبینیکنندههای خوبی هستند، زیرا راهاندازی یک آسیبپذیری گامی ضروری برای هر اکسپلویت است، و این ویژگیها را به طور علّی با مشکل ایجاد اکسپلویتهای عملکردی مرتبط میکند.
دومیتراش خاطرنشان میکند که پیشبینی اینکه آیا یک آسیبپذیری مورد سوء استفاده قرار میگیرد یا خیر، دشواری بیشتری میافزاید، زیرا محققان باید مدلی از انگیزههای مهاجمان ایجاد کنند.
او میگوید: «اگر یک آسیبپذیری در طبیعت مورد سوء استفاده قرار گیرد، میدانیم که یک اکسپلویت عملکردی در آنجا وجود دارد، اما موارد دیگری را میشناسیم که در آن یک سوءاستفاده عملکردی وجود دارد، اما هیچ نمونه شناختهشدهای از بهرهبرداری در طبیعت وجود ندارد». آسیبپذیریهایی که دارای اکسپلویت عملکردی هستند، خطرناک هستند و بنابراین باید برای وصلهسازی در اولویت قرار گیرند.»
تحقیقات منتشر شده توسط Kenna Security - که اکنون متعلق به سیسکو است - و موسسه Cyentia این را نشان داد وجود کد اکسپلویت عمومی منجر به افزایش هفت برابری شد به این احتمال که یک اکسپلویت در طبیعت استفاده شود.
با این حال اولویت بندی وصله تنها راهی نیست که پیش بینی بهره برداری می تواند برای کسب و کارها مفید باشد. شرکتهای بیمه سایبری میتوانند از پیشبینی بهرهبرداری به عنوان راهی برای تعیین خطر بالقوه برای دارندگان بیمهنامه استفاده کنند. دومیتراش میگوید علاوه بر این، این مدل میتواند برای تجزیه و تحلیل نرمافزار در حال توسعه برای یافتن الگوهایی استفاده شود که ممکن است نشان دهد بهرهبرداری از نرمافزار آسانتر یا سختتر است.