大学の研究者チームは、XNUMX を超えるソースからのデータで訓練された機械学習を使用して、どの脆弱性が機能的なエクスプロイトにつながる可能性があるかを予測するモデルを作成しました。これは、企業がどのソフトウェアの欠陥を優先するかをより適切に決定するのに役立つ可能性がある貴重なツールです。
予想される悪用可能性と呼ばれるこのモデルは、60% の予測精度 (分類用語を使用する場合は「精度」) で、機能的な悪用が行われる脆弱性の 86% を検出できます。 脆弱性が公開された時点ですべての関連情報が利用できるわけではなく、その後のイベントを使用することで、研究者は予測の精度を高めることができたため、研究の鍵は時間の経過に伴う特定の指標の変化を考慮することです。
悪用の予測可能性を改善することで、企業は脆弱性の数を減らすことができます。 パッチ適用が重要と見なされるしかし、メトリックには他の用途もあると、メリーランド大学カレッジパーク校の電気工学およびコンピューター工学の准教授であり、先週の USENIX セキュリティ カンファレンスで発表された研究論文の著者の XNUMX 人である Tudor Dumitraş 氏は述べています。
「悪用可能性の予測は、パッチ適用を優先したい企業だけでなく、リスク レベルを計算しようとしている保険会社や開発者にも関係があります。これは、脆弱性が悪用される原因を理解するための第一歩になるからです」と彼は言います。
メリーランド大学カレッジパーク校とアリゾナ州立大学の研究 は、どの脆弱性が悪用される可能性があるか、悪用される可能性があるかについて、企業に追加情報を提供する最新の試みです。 2018年、アリゾナ州立大学とUSC情報科学研究所の研究者 ダークウェブの議論の解析に焦点を当てています 脆弱性が悪用される可能性、または悪用された可能性を予測するために使用できるフレーズと機能を見つける。
そして 2019 年には、データ研究会社 Cyentia Institute、RAND Corp.、Virginia Tech の研究者が次のようなモデルを発表しました。 どの脆弱性が攻撃者によって悪用されるかについての予測の改善.
システムの多くはアナリストや研究者による手動プロセスに依存していますが、Expected Exploitability メトリックは完全に自動化できると、Cyentia Institute のチーフ データ サイエンティスト兼共同創設者である Jay Jacobs 氏は述べています。
「この研究は、分析者の時間や意見に頼ることなく、一貫して自動的にすべての微妙な手がかりを拾うことに焦点を当てているため、他とは異なります」と彼は言います。 「[T]これはすべてリアルタイムで大規模に行われます。 それは、日々開示および公開される脆弱性の洪水に容易に対応し、進化することができます。」
開示時点ではすべての機能が利用可能だったわけではないため、モデルは時間を考慮し、いわゆる「ラベル ノイズ」の課題を克服する必要がありました。 機械学習アルゴリズムが静的な時点を使用してパターンを分類する場合 (たとえば、悪用可能か悪用不可能かなど)、後でラベルが正しくないことが判明した場合、分類によってアルゴリズムの有効性が損なわれる可能性があります。
PoC: 悪用可能性のためのセキュリティ バグの解析
研究者は、約 103,000 の脆弱性に関する情報を使用し、それを 48,709 つのパブリック リポジトリ (ExploitDB、BugTraq、および Vulners) から収集された 21,849 の概念実証 (PoC) エクスプロイトと比較しました。 研究者はまた、ソーシャル メディアのディスカッションでキーワードとトークン (XNUMX つまたは複数の単語のフレーズ) をマイニングし、既知のエクスプロイトのデータ セットを作成しました。
ただし、PoC は、脆弱性が悪用可能かどうかを示す良い指標であるとは限らないと研究者は論文で述べています。
「PoC は、対象のアプリケーションをクラッシュまたはハングさせることによって脆弱性をトリガーするように設計されており、多くの場合、直接武器化することはできません」と研究者は述べています。 「[我々は、これが機能的エクスプロイトを予測するための多くの誤検知につながることを観察しています。 対照的に、コードの複雑さなどの特定の PoC 特性は、脆弱性のトリガーがすべてのエクスプロイトに必要なステップであり、これらの機能が機能的なエクスプロイトの作成の難しさに因果関係があるため、適切な予測因子であることがわかりました。」
Dumitraş 氏は、研究者が攻撃者の動機のモデルを作成する必要があるため、脆弱性が悪用されるかどうかを予測することはさらに困難になると指摘しています。
「脆弱性が実際に悪用された場合、そこに機能的な悪用があることがわかりますが、機能的な悪用がある他のケースはわかっていますが、実際に悪用された既知の事例はありません」と彼は言います。 「機能的なエクスプロイトを持つ脆弱性は危険であるため、パッチを適用するために優先する必要があります。」
Kenna Security (現在は Cisco が所有) によって公開された調査と、Cyentia Institute は次のことを発見しました。 公開されたエクスプロイト コードの存在により、XNUMX 倍の増加につながった エクスプロイトが実際に使用される可能性があります。
しかし、パッチの適用を優先することだけが、エクスプロイトの予測が企業に利益をもたらす方法ではありません。 サイバー保険会社は、保険契約者の潜在的なリスクを判断する方法として、エクスプロイト予測を使用できます。 さらに、このモデルを使用して開発中のソフトウェアを分析し、ソフトウェアの悪用が容易か困難かを示すパターンを見つけることができると、Dumitraş 氏は述べています。
