A több mint kéttucatnyi forrásból származó adatokon kiképzett gépi tanulás segítségével egy egyetemi kutatócsoport modellt hozott létre annak előrejelzésére, hogy mely sérülékenységek valószínűsíthetően funkcionális kizsákmányolást eredményeznek, ami egy potenciálisan értékes eszköz, amely segíthet a vállalatoknak eldönteni, hogy melyik szoftverhibát részesítsék előnyben.
Az Expected Exploitability nevű modell a funkcionális kizsákmányolást tartalmazó sebezhetőségek 60%-át képes elkapni, 86%-os előrejelzési pontossággal – vagy az osztályozási terminológiával élve „pontossággal”. A kutatás kulcsa, hogy bizonyos mérőszámok idővel változhatnak, mivel a sebezhetőség felfedésekor nem áll rendelkezésre minden lényeges információ, és a későbbi események felhasználása lehetővé tette a kutatók számára, hogy pontosítsák az előrejelzés pontosságát.
A kihasználás kiszámíthatóságának javításával a vállalatok csökkenthetik a sebezhetőségek számát kritikusnak ítélik a javításhoz, de a mérőszámnak más felhasználási területei is vannak – mondja Tudor Dumitraș, a College Park-i Maryland Egyetem elektro- és számítástechnikai professzora, és a USENIX Biztonsági Konferencián múlt héten megjelent kutatási cikk egyik szerzője.
„A kihasználhatóság előrejelzése nem csak azokra a cégekre vonatkozik, amelyek prioritást kívánnak adni a foltozásnak, hanem azoknak a biztosítótársaságoknak is, amelyek megpróbálják kiszámítani a kockázati szintet, és a fejlesztők számára is, mert ez talán egy lépés afelé, hogy megértsük, mi teszi a sebezhetőséget kihasználhatóvá” – mondja.
A A Marylandi Egyetem a College Parkban és az Arizonai Állami Egyetem kutatása a legújabb kísérlet arra, hogy a vállalatoknak további információkkal szolgáljanak arról, hogy mely sérülékenységeket lehet kihasználni vagy valószínűleg kihasználják. 2018-ban az Arizona State University és a USC Information Science Institute kutatói a sötét webes beszélgetések elemzésére összpontosított kifejezéseket és jellemzőket találni, amelyek segítségével előre jelezhető a sérülékenység kihasználásának vagy kihasználásának valószínűsége.
2019-ben pedig a Cyentia Institute adatkutató cég, a RAND Corp. és a Virginia Tech kutatói bemutattak egy modellt, amely javított előrejelzések arról, hogy a támadók mely sebezhetőségeket használják ki.
A legtöbb rendszer elemzők és kutatók manuális folyamataira támaszkodik, de az Expected Exploitability metrika teljesen automatizálható, mondja Jay Jacobs, a Cyentia Institute vezető adatkutatója és társalapítója.
"Ez a kutatás azért más, mert arra összpontosít, hogy automatikusan, következetesen és egy elemző idejére és véleményére hagyatkozzon az összes finom nyomra." „[Ez] mind valós időben és nagy léptékben történik. Könnyen lépést tud tartani és fejlődni tud a sebezhetőségek özönével, amelyeket naponta feltárnak és közzétesznek."
A közzététel időpontjában még nem állt rendelkezésre minden funkció, így a modellnek számolnia kellett az idővel, és le kellett küzdenie az úgynevezett „címkezaj” kihívását. Amikor a gépi tanulási algoritmusok egy statikus időpontot használnak a minták besorolására – mondjuk kihasználhatóra és nem kihasználhatóra –, az osztályozás alááshatja az algoritmus hatékonyságát, ha a címkéről később kiderül, hogy hibás.
PoCs: Biztonsági hibák elemzése a kihasználhatóság érdekében
A kutatók csaknem 103,000 48,709 sebezhetőségre vonatkozó információkat használtak fel, majd ezt összehasonlították a három nyilvános adattárból – ExploitDB, BugTraq és Vulners – gyűjtött 21,849 XNUMX proof-of-concept (PoC) exploittal, amelyek a különböző biztonsági rések közül XNUMX XNUMX kizsákmányolást jelentettek. A kutatók a közösségi médiában folytatott megbeszéléseket kulcsszavakra és tokenekre – egy vagy több szóból álló kifejezésekre – is bányásztak, valamint adathalmazt hoztak létre az ismert kihasználásokról.
A kutatók szerint azonban a PoC-k nem mindig jelzik jól, hogy a sebezhetőség kihasználható-e.
"A PoC-okat úgy tervezték, hogy a sebezhetőséget a célalkalmazás összeomlásával vagy lefagyásával váltsák ki, és gyakran közvetlenül nem fegyverezhetők fel" - állapították meg a kutatók. „Megfigyeljük, hogy ez sok hamis pozitív eredményhez vezet a funkcionális kihasználások előrejelzéséhez. Ezzel szemben azt tapasztaltuk, hogy bizonyos PoC-jellemzők, mint például a kód összetettsége, jó előrejelzők, mivel a sebezhetőség kiváltása minden kizsákmányolásnál szükséges lépés, és ezek a jellemzők okozati összefüggésben vannak a funkcionális exploitok létrehozásának nehézségével.
Dumitraș megjegyzi, hogy a sérülékenység kihasználásának előrejelzése további nehézségeket okoz, mivel a kutatóknak modellt kellene alkotniuk a támadók indítékairól.
„Ha egy sérülékenységet a vadonban kihasználnak, akkor tudjuk, hogy létezik funkcionális kizsákmányolás, de tudunk más eseteket is, amikor létezik funkcionális kizsákmányolás, de a vadonban nincs ismert példa a kizsákmányolásra” – mondja. „Azok a sérülékenységek, amelyek funkcionális kizsákmányolással rendelkeznek, veszélyesek, ezért javítani kell őket.”
A Kenna Security – amely jelenleg a Cisco tulajdona – és a Cyentia Institute által közzétett kutatás megállapította a nyilvános kihasználó kód megléte hétszeres növekedéshez vezetett annak a valószínűsége, hogy egy kizsákmányolást a vadonban alkalmaznak.
A javítások előtérbe helyezése azonban nem az egyetlen módja annak, hogy a kihasználás előrejelzése előnyös legyen a vállalkozások számára. A kiberbiztosítási szolgáltatók az exploit előrejelzést használhatják a kötvénytulajdonosok potenciális kockázatának meghatározására. Ezenkívül a modell felhasználható a fejlesztés alatt álló szoftverek elemzésére, hogy olyan mintákat találjanak, amelyek jelezhetik, hogy a szoftvert könnyebben vagy nehezebben lehet kihasználni, mondja Dumitraș.
