באמצעות למידת מכונה שהוכשרה על נתונים מיותר משני תריסר מקורות, צוות חוקרים באוניברסיטה יצר מודל לניבוי אילו פגיעויות יגרמו ככל הנראה לניצול פונקציונלי, כלי בעל ערך פוטנציאלי שיכול לעזור לחברות להחליט טוב יותר אילו פגמי תוכנה לתעדף.
המודל, שנקרא Expected Exploitability, יכול לתפוס 60% מהחולשות שיהיו להן ניצול פונקציונלי, עם דיוק חיזוי - או "דיוק", אם להשתמש בטרמינולוגיית סיווג - של 86%. מפתח במחקר הוא לאפשר שינויים במדדים מסוימים לאורך זמן, מכיוון שלא כל המידע הרלוונטי זמין בזמן חשיפת הפגיעות, ושימוש באירועים מאוחרים יותר אפשר לחוקרים לחדד את דיוק התחזית.
על ידי שיפור יכולת הניבוי של ניצול, חברות יכולות לצמצם את מספר הפגיעות שיש נחשב קריטי לתיקון, אבל למדד יש גם שימושים אחרים, אומר טיודור דומיטראש, פרופסור חבר להנדסת חשמל ומחשבים באוניברסיטת מרילנד בקולג' פארק, ואחד ממחברי עבודת המחקר שפורסם בשבוע שעבר בכנס האבטחה של USENIX.
"חיזוי ניצול רלוונטי לא רק לחברות שרוצות לתת עדיפות לתיקון, אלא גם לחברות ביטוח שמנסות לחשב רמות סיכון ולמפתחים, כי זה אולי צעד לקראת הבנת מה הופך פגיעות לניתנת לניצול", הוא אומר.
השמיים מחקר של אוניברסיטת מרילנד בקולג' פארק ואוניברסיטת אריזונה סטייט הוא הניסיון האחרון לתת לחברות מידע נוסף על פגיעויות שעלולות להיות מנוצלות או צפויות להיות מנוצלות. בשנת 2018, חוקרים מאוניברסיטת אריזונה סטייט ומהמכון למדעי המידע של USC התמקד בניתוח דיונים ברשת האפלה כדי למצוא ביטויים ומאפיינים שניתן להשתמש בהם כדי לחזות את הסבירות שפגיעות תנוצל או נוצלה.
ובשנת 2019, חוקרים מחברת מחקר הנתונים Cyentia Institute, RAND Corp. ווירג'יניה טק הציגו מודל ש חיזויים משופרים לגבי ניצול של פגיעויות על ידי תוקפים.
רבות מהמערכות מסתמכות על תהליכים ידניים של אנליסטים וחוקרים, אבל המדד Expected Exploitability יכול להיות אוטומטי לחלוטין, אומר ג'יי ג'ייקובס, מדען נתונים ראשי ומייסד שותף במכון סינטיה.
"המחקר הזה שונה מכיוון שהוא מתמקד באיסוף כל הרמזים העדינים באופן אוטומטי, עקבי ומבלי להסתמך על הזמן והדעות של אנליסט", הוא אומר. "[הכל] נעשה בזמן אמת ובקנה מידה. זה יכול בקלות להתעדכן ולהתפתח עם מבול הפגיעות הנחשפות ומתפרסמות מדי יום".
לא כל התכונות היו זמינות בזמן החשיפה, כך שהדגם היה צריך גם לקחת בחשבון זמן ולהתגבר על האתגר של מה שנקרא "רעש תווית". כאשר אלגוריתמים של למידת מכונה משתמשים בנקודת זמן סטטית כדי לסווג דפוסים - למשל, ניתנים לניצול ולא ניתנים לניצול - הסיווג יכול לערער את יעילות האלגוריתם, אם התווית תתגלה מאוחר יותר כלא נכונה.
PoCs: ניתוח באגי אבטחה לניצול
החוקרים השתמשו במידע על כמעט 103,000 נקודות תורפה, ולאחר מכן השוו את זה ל-48,709 הוכחות-של-קונספציה (PoCs) ניצול שנאסף משלושה מאגרים ציבוריים - ExploitDB, BugTraq ופגיעות - שייצגו ניצול של 21,849 מהחולשות הנפרדות. החוקרים גם כירו דיונים במדיה חברתית עבור מילות מפתח ואסימונים - ביטויים של מילה אחת או יותר - וכן יצרו מערך נתונים של מעללים ידועים.
עם זאת, PoCs אינם תמיד אינדיקטור טוב לשאלה האם ניתן לנצל פגיעות, אמרו החוקרים במאמר.
"PoCs נועדו להפעיל את הפגיעות על ידי קריסה או תליית יישום היעד ולעתים קרובות אינם ניתנים לנשק ישירות", הצהירו החוקרים. "[אנו] רואים שזה מוביל לתוצאות חיוביות כוזבות רבות לחיזוי ניצול פונקציונלי. לעומת זאת, אנו מגלים שמאפייני PoC מסוימים, כמו מורכבות הקוד, הם מנבאים טובים, מכיוון שהפעלת פגיעות היא צעד הכרחי לכל ניצול, מה שהופך את התכונות הללו לקשר סיבתי לקושי ליצור ניצול פונקציונלי."
Dumitraș מציין כי חיזוי אם פגיעות תנוצל מוסיף קושי נוסף, שכן החוקרים יצטרכו ליצור מודל של מניעי התוקפים.
"אם פגיעות מנוצלת בטבע, אז אנחנו יודעים שיש שם ניצול פונקציונלי, אבל אנחנו מכירים מקרים אחרים שבהם יש ניצול פונקציונלי, אבל אין מקרה ידוע של ניצול בטבע", הוא אומר. "פגיעויות שיש בהן ניצול פונקציונלי הן מסוכנות ולכן יש לתעדף אותן לתיקון."
מחקר שפורסם על ידי Kenna Security - כיום בבעלות סיסקו - ומכון Cyentia מצא את זה קיומו של קוד ניצול ציבורי הוביל לעלייה פי שבעה בסבירות שניצול ישמש בטבע.
עם זאת, מתן עדיפות לתיקון אינו הדרך היחידה שבה תחזית הניצול יכולה להועיל לעסקים. חברות ביטוח סייבר יכולות להשתמש בחיזוי ניצול כדרך לקבוע את הסיכון הפוטנציאלי עבור מחזיקי הפוליסה. בנוסף, המודל יכול לשמש לניתוח תוכנות בפיתוח כדי למצוא דפוסים שעשויים להצביע אם התוכנה קלה יותר, או קשה יותר, לניצול, אומר Dumitraș.
