En utilisant l'apprentissage automatique formé sur des données provenant de plus de deux douzaines de sources, une équipe de chercheurs universitaires a créé un modèle pour prédire quelles vulnérabilités entraîneront probablement un exploit fonctionnel, un outil potentiellement précieux qui pourrait aider les entreprises à mieux décider quelles failles logicielles prioriser.
Le modèle, appelé Expected Exploitability, peut détecter 60 % des vulnérabilités qui auront des exploits fonctionnels, avec une précision de prédiction – ou « précision », pour utiliser la terminologie de classification – de 86 %. Une clé de la recherche est de permettre des changements dans certaines mesures au fil du temps, car toutes les informations pertinentes ne sont pas disponibles au moment où une vulnérabilité est divulguée, et l'utilisation d'événements ultérieurs a permis aux chercheurs d'affiner la précision de la prédiction.
En améliorant la prévisibilité de l'exploitation, les entreprises peuvent réduire le nombre de vulnérabilités jugé critique pour le patch, mais la métrique a également d'autres utilisations, explique Tudor Dumitraș, professeur agrégé de génie électrique et informatique à l'Université du Maryland à College Park, et l'un des auteurs du document de recherche publié la semaine dernière lors de la conférence sur la sécurité USENIX.
"La prédiction de l'exploitabilité n'est pas seulement pertinente pour les entreprises qui veulent donner la priorité aux correctifs, mais aussi pour les compagnies d'assurance qui essaient de calculer les niveaux de risque et pour les développeurs, car c'est peut-être une étape vers la compréhension de ce qui rend une vulnérabilité exploitable", dit-il.
Les Recherche de l'Université du Maryland à College Park et de l'Université d'État de l'Arizona est la dernière tentative pour donner aux entreprises des informations supplémentaires sur les vulnérabilités qui pourraient être ou sont susceptibles d'être exploitées. En 2018, des chercheurs de l'Arizona State University et de l'USC Information Science Institute concentré sur l'analyse des discussions du Dark Web pour trouver des phrases et des fonctionnalités qui pourraient être utilisées pour prédire la probabilité qu'une vulnérabilité soit ou ait été exploitée.
Et en 2019, des chercheurs de la société de recherche de données Cyentia Institute, de RAND Corp. et de Virginia Tech ont présenté un modèle qui prédictions améliorées dont les vulnérabilités seraient exploitées par les attaquants.
De nombreux systèmes reposent sur des processus manuels par des analystes et des chercheurs, mais la métrique d'exploitabilité attendue peut être entièrement automatisée, explique Jay Jacobs, scientifique en chef des données et co-fondateur de l'Institut Cyentia.
"Cette recherche est différente car elle se concentre sur la détection automatique de tous les indices subtils, de manière cohérente et sans compter sur le temps et les opinions d'un analyste", dit-il. « [C]eci se fait en temps réel et à grande échelle. Il peut facilement suivre et évoluer avec le flot de vulnérabilités divulguées et publiées quotidiennement.
Toutes les fonctionnalités n'étaient pas disponibles au moment de la divulgation, de sorte que le modèle devait également prendre en compte le temps et surmonter le défi du soi-disant «bruit d'étiquette». Lorsque les algorithmes d'apprentissage automatique utilisent un point statique dans le temps pour classer les modèles - en, disons, exploitables et non exploitables - la classification peut nuire à l'efficacité de l'algorithme, si l'étiquette s'avère plus tard incorrecte.
PoCs : analyse des bogues de sécurité pour l'exploitabilité
Les chercheurs ont utilisé des informations sur près de 103,000 48,709 vulnérabilités, puis les ont comparées aux 21,849 XNUMX exploits de preuve de concept (PoC) collectés à partir de trois référentiels publics – ExploitDB, BugTraq et Vulners – qui représentaient des exploits pour XNUMX XNUMX des vulnérabilités distinctes. Les chercheurs ont également exploité les discussions sur les réseaux sociaux à la recherche de mots-clés et de jetons - des phrases d'un ou plusieurs mots - et ont également créé un ensemble de données d'exploits connus.
Cependant, les PoC ne sont pas toujours un bon indicateur pour savoir si une vulnérabilité est exploitable, ont déclaré les chercheurs dans l'article.
"Les PoC sont conçus pour déclencher la vulnérabilité en plantant ou en suspendant l'application cible et ne sont souvent pas directement militarisables", ont déclaré les chercheurs. « [N]ous observons que cela conduit à de nombreux faux positifs pour prédire les exploits fonctionnels. En revanche, nous découvrons que certaines caractéristiques PoC, telles que la complexité du code, sont de bons prédicteurs, car le déclenchement d'une vulnérabilité est une étape nécessaire pour chaque exploit, ce qui rend ces caractéristiques causalement liées à la difficulté de créer des exploits fonctionnels.
Dumitraș note que prédire si une vulnérabilité sera exploitée ajoute une difficulté supplémentaire, car les chercheurs devraient créer un modèle des motivations des attaquants.
"Si une vulnérabilité est exploitée dans la nature, alors nous savons qu'il y a un exploit fonctionnel là-bas, mais nous connaissons d'autres cas où il y a un exploit fonctionnel, mais il n'y a pas d'exemple connu d'exploitation dans la nature", dit-il. "Les vulnérabilités qui ont un exploit fonctionnel sont dangereuses et doivent donc être traitées en priorité pour les correctifs."
Une étude publiée par Kenna Security - désormais propriété de Cisco - et l'Institut Cyentia a révélé que l'existence d'un code d'exploitation public a multiplié par sept dans la probabilité qu'un exploit soit utilisé dans la nature.
Pourtant, donner la priorité aux correctifs n'est pas la seule façon dont la prédiction des exploits peut profiter aux entreprises. Les compagnies de cyberassurance pourraient utiliser la prédiction des exploits comme moyen de déterminer le risque potentiel pour les assurés. En outre, le modèle pourrait être utilisé pour analyser les logiciels en développement afin de trouver des modèles qui pourraient indiquer si le logiciel est plus facile ou plus difficile à exploiter, explique Dumitraș.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
