Yli kahdesta tusinasta lähteestä peräisin olevan datan perusteella koulutettua koneoppimista käyttämällä yliopistotutkijoiden ryhmä on luonut mallin ennustaakseen, mitkä haavoittuvuudet todennäköisesti johtavat toiminnalliseen hyväksikäyttöön. Tämä on mahdollisesti arvokas työkalu, joka voi auttaa yrityksiä päättämään, mitkä ohjelmistovirheet priorisoida.
Malli, jonka nimi on Expected Exploitability, voi saada kiinni 60 % haavoittuvuuksista, joissa on toiminnallisia hyväksikäyttöjä, ja ennustetarkkuus - tai "tarkkuus" luokitteluterminologiaa käyttäen - on 86%. Tutkimuksen avain on sallia tietyissä mittareissa tapahtuvat muutokset ajan mittaan, koska kaikkea olennaista tietoa ei ole saatavilla haavoittuvuuden paljastamishetkellä ja myöhempien tapahtumien avulla tutkijat pystyivät hiomaan ennusteen tarkkuutta.
Parantamalla hyväksikäytön ennustettavuutta yritykset voivat vähentää olemassa olevien haavoittuvuuksien määrää paikannuksen kannalta kriittiseksi, mutta mittarilla on myös muita käyttötarkoituksia, sanoo Tudor Dumitraș, sähkö- ja tietokonetekniikan apulaisprofessori Marylandin yliopistosta College Parkissa ja yksi viime viikolla USENIX-turvakonferenssissa julkaistun tutkimuspaperin kirjoittajista.
"Käytettävyyden ennustaminen ei koske vain yrityksiä, jotka haluavat priorisoida paikannuksen, vaan myös vakuutusyhtiöille, jotka yrittävät laskea riskitasoja, ja kehittäjille, koska tämä on ehkä askel kohti ymmärtämistä, mikä tekee haavoittuvuudesta hyödynnettävissä", hän sanoo.
- Marylandin yliopisto College Parkissa ja Arizona State Universityn tutkimus on viimeisin yritys antaa yrityksille lisätietoja siitä, mitä haavoittuvuuksia voidaan hyödyntää tai joita todennäköisesti tullaan hyödyntämään. Vuonna 2018 tutkijat Arizona State Universitystä ja USC Information Science Institutesta keskittyi Dark Web -keskustelujen jäsentämiseen löytää lauseita ja ominaisuuksia, joiden avulla voitaisiin ennustaa todennäköisyys, että haavoittuvuutta hyödynnettäisiin tai olisi käytetty hyväksi.
Vuonna 2019 datatutkimusyhtiö Cyentia Instituten, RAND Corp.:n ja Virginia Techin tutkijat esittelivät mallin, joka parannetut ennusteet siitä, mitkä haavoittuvuudet hyökkääjät voisivat hyödyntää.
Monet järjestelmät perustuvat analyytikoiden ja tutkijoiden manuaalisiin prosesseihin, mutta Expected Exploitability -mittari voidaan täysin automatisoida, sanoo Jay Jacobs, johtava tietotieteilijä ja yksi Cyentia Instituten perustajista.
"Tämä tutkimus on erilainen, koska se keskittyy poimimaan kaikki hienovaraiset vihjeet automaattisesti, johdonmukaisesti ja luottamatta analyytikon aikaan ja mielipiteisiin", hän sanoo. "Tämä kaikki tehdään reaaliajassa ja mittakaavassa. Se voi helposti pysyä mukana ja kehittyä haavoittuvuuksien tulvan kanssa, joka paljastetaan ja julkaistaan päivittäin."
Kaikki ominaisuudet eivät olleet saatavilla julkaisuhetkellä, joten mallissa oli myös otettava huomioon aika ja voitettava niin sanottu "etikettikohina". Kun koneoppimisalgoritmit käyttävät staattista ajanhetkeä mallien luokittelemiseen - esimerkiksi hyödynnettäviin ja ei-hyödyttävissä oleviin - luokitus voi heikentää algoritmin tehokkuutta, jos tunniste myöhemmin havaitaan virheelliseksi.
PoCs: Suojausvirheiden jäsentäminen hyödynnettävyyttä varten
Tutkijat käyttivät tietoja lähes 103,000 48,709 haavoittuvuudesta ja vertasivat niitä sitten 21,849 XNUMX proofs-of-concept (PoCs) -hyökkäyksiin, jotka kerättiin kolmesta julkisesta tietovarastosta - ExploitDB, BugTraq ja Vulners - jotka edustivat XNUMX XNUMX haavoittuvuuden hyväksikäyttöä. Tutkijat loivat myös sosiaalisen median keskusteluja avainsanoja ja tunnuksia – yhden tai useamman sanan lauseita – sekä loivat tietojoukon tunnetuista hyväksikäytöistä.
PoC:t eivät kuitenkaan aina ole hyvä indikaattori siitä, onko haavoittuvuutta hyödynnettävissä, tutkijat sanoivat lehdessä.
"PoC:t on suunniteltu laukaisemaan haavoittuvuus kaatumalla tai ripustamalla kohdesovellus, eivätkä ne usein ole suoraan aseistettavissa", tutkijat totesivat. "[Huomaamme], että tämä johtaa moniin vääriin positiivisiin toiminnallisten hyväksikäyttöjen ennustamiseen. Sitä vastoin havaitsemme, että tietyt PoC-ominaisuudet, kuten koodin monimutkaisuus, ovat hyviä ennustajia, koska haavoittuvuuden laukaiseminen on välttämätön askel jokaisessa hyväksikäytössä, mikä tekee näistä ominaisuuksista kausaalisessa yhteydessä toiminnallisten hyväksikäyttöjen luomisen vaikeuteen.
Dumitraș huomauttaa, että haavoittuvuuden hyödyntämisen ennustaminen lisää hankaluuksia, sillä tutkijoiden olisi luotava malli hyökkääjien motiiveista.
"Jos haavoittuvuutta hyödynnetään luonnossa, tiedämme, että siellä on toiminnallinen hyväksikäyttö, mutta tiedämme muita tapauksia, joissa toiminnallinen hyväksikäyttö on olemassa, mutta luonnossa ei ole tunnettua hyväksikäyttötapausta", hän sanoo. "Haavoittuvuudet, joissa on toiminnallinen hyväksikäyttö, ovat vaarallisia, ja siksi ne tulisi priorisoida korjauksille."
Kenna Securityn – nyt Ciscon omistaman – ja Cyentia-instituutin julkaisema tutkimus havaitsi tämän julkisen hyväksikäyttökoodin olemassaolo johti seitsenkertaiseen kasvuun sillä todennäköisyydellä, että hyväksikäyttöä käytettäisiin luonnossa.
Paikkauksen priorisointi ei kuitenkaan ole ainoa tapa, jolla hyödyntämisennuste voi hyödyttää yrityksiä. Kybervakuutusyhtiöt voisivat käyttää hyväksikäyttöennustetta keinona määrittää vakuutuksenottajien mahdollinen riski. Lisäksi mallia voitaisiin käyttää analysoimaan kehitteillä olevia ohjelmistoja, jotta löydettäisiin malleja, jotka saattavat osoittaa, onko ohjelmistoa helpompi vai vaikeampi hyödyntää, Dumitraș sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
