Menggunakan pembelajaran mesin yang dilatih pada data dari lebih dari dua lusin sumber, tim peneliti universitas telah membuat model untuk memprediksi kerentanan mana yang kemungkinan akan menghasilkan eksploitasi fungsional, alat yang berpotensi berharga yang dapat membantu perusahaan memutuskan dengan lebih baik kelemahan perangkat lunak mana yang akan diprioritaskan.
Model, yang disebut Ekspektasi Eksploitasi, dapat menangkap 60% kerentanan yang akan memiliki eksploitasi fungsional, dengan akurasi prediksi โ atau โpresisiโ, untuk menggunakan terminologi klasifikasi โ sebesar 86%. Kunci dari penelitian ini adalah untuk memungkinkan perubahan dalam metrik tertentu dari waktu ke waktu, karena tidak semua informasi yang relevan tersedia pada saat kerentanan diungkapkan, dan menggunakan peristiwa selanjutnya memungkinkan peneliti untuk mengasah akurasi prediksi.
Dengan meningkatkan prediktabilitas eksploitasi, perusahaan dapat mengurangi jumlah kerentanan yang dianggap penting untuk menambal, tetapi metrik memiliki kegunaan lain juga, kata Tudor Dumitraศ, seorang profesor teknik listrik dan komputer di University of Maryland di College Park, dan salah satu penulis makalah penelitian yang diterbitkan minggu lalu di Konferensi Keamanan USENIX.
โPrediksi eksploitasi tidak hanya relevan untuk perusahaan yang ingin memprioritaskan patching, tetapi juga untuk perusahaan asuransi yang mencoba menghitung tingkat risiko dan untuk pengembang, karena ini mungkin merupakan langkah untuk memahami apa yang membuat kerentanan dapat dieksploitasi,โ katanya.
Grafik Penelitian Universitas Maryland di College Park dan Arizona State University adalah upaya terbaru untuk memberi perusahaan informasi tambahan tentang kerentanan mana yang dapat, atau kemungkinan besar, dieksploitasi. Pada tahun 2018, para peneliti dari Arizona State University dan USC Information Science Institute fokus pada penguraian diskusi Web Gelap untuk menemukan frasa dan fitur yang dapat digunakan untuk memprediksi kemungkinan kerentanan akan, atau telah, dieksploitasi.
Dan pada 2019, para peneliti dari perusahaan riset data Cyentia Institute, RAND Corp., dan Virginia Tech mempresentasikan model yang peningkatan prediksi yang kerentanannya akan dieksploitasi oleh penyerang.
Banyak sistem bergantung pada proses manual oleh analis dan peneliti, tetapi metrik Eksploitasi yang Diharapkan dapat sepenuhnya otomatis, kata Jay Jacobs, kepala ilmuwan data dan salah satu pendiri di Cyentia Institute.
โPenelitian ini berbeda karena berfokus pada pengambilan semua petunjuk halus secara otomatis, konsisten dan tanpa bergantung pada waktu dan pendapat seorang analis,โ katanya. โ[T]ini semua dilakukan secara real time dan dalam skala besar. Itu dapat dengan mudah mengikuti dan berkembang dengan membanjirnya kerentanan yang diungkapkan dan diterbitkan setiap hari.โ
Tidak semua fitur tersedia pada saat pengungkapan, sehingga model juga harus memperhitungkan waktu dan mengatasi tantangan yang disebut "label noise". Ketika algoritme pembelajaran mesin menggunakan titik waktu statis untuk mengklasifikasikan pola โ menjadi, katakanlah, dapat dieksploitasi dan tidak dapat dieksploitasi โ klasifikasi tersebut dapat merusak efektivitas algoritme, jika labelnya kemudian ditemukan salah.
PoC: Mengurai Bug Keamanan untuk Eksploitasi
Para peneliti menggunakan informasi tentang hampir 103,000 kerentanan, dan kemudian membandingkannya dengan 48,709 eksploitasi proofs-of-concept (PoC) yang dikumpulkan dari tiga repositori publik โ ExploitDB, BugTraq, dan Vulners โ yang mewakili eksploitasi untuk 21,849 kerentanan yang berbeda. Para peneliti juga menggali diskusi media sosial untuk kata kunci dan token โ frasa dari satu kata atau lebih โ serta membuat kumpulan data eksploitasi yang diketahui.
Namun, PoC tidak selalu merupakan indikator yang baik apakah suatu kerentanan dapat dieksploitasi, kata para peneliti dalam makalah tersebut.
โPoC dirancang untuk memicu kerentanan dengan menabrak atau menggantung aplikasi target dan seringkali tidak dapat dijadikan senjata secara langsung,โ kata para peneliti. โ[Kami] mengamati bahwa ini mengarah ke banyak kesalahan positif untuk memprediksi eksploitasi fungsional. Sebaliknya, kami menemukan bahwa karakteristik PoC tertentu, seperti kompleksitas kode, adalah prediktor yang baik, karena memicu kerentanan adalah langkah yang diperlukan untuk setiap eksploitasi, membuat fitur ini terhubung secara kausal dengan kesulitan membuat eksploitasi fungsional.โ
Dumitraศ mencatat bahwa memprediksi apakah kerentanan akan dieksploitasi menambah kesulitan tambahan, karena para peneliti harus membuat model motif penyerang.
โJika kerentanan dieksploitasi di alam liar, maka kami tahu ada eksploitasi fungsional di sana, tetapi kami tahu kasus lain di mana ada eksploitasi fungsional, tetapi tidak ada contoh eksploitasi yang diketahui di alam liar,โ katanya. โKerentanan yang memiliki eksploitasi fungsional berbahaya dan karenanya harus diprioritaskan untuk ditambal.โ
Penelitian yang diterbitkan oleh Kenna Security โ sekarang dimiliki oleh Cisco โ dan Cyentia Institute menemukan bahwa keberadaan kode eksploitasi publik menyebabkan peningkatan tujuh kali lipat dalam kemungkinan bahwa eksploitasi akan digunakan di alam liar.
Namun memprioritaskan patching bukanlah satu-satunya cara prediksi eksploitasi dapat menguntungkan bisnis. Operator asuransi cyber dapat menggunakan prediksi eksploitasi sebagai cara untuk menentukan potensi risiko bagi pemegang polis. Selain itu, model dapat digunakan untuk menganalisis perangkat lunak dalam pengembangan untuk menemukan pola yang mungkin menunjukkan apakah perangkat lunak lebih mudah, atau lebih sulit, untuk dieksploitasi, kata Dumitraศ.
