XNUMX개 이상의 소스에서 얻은 데이터에 대해 훈련된 기계 학습을 사용하여 대학 연구원 팀은 어떤 취약점이 기능적 익스플로잇을 초래할 가능성이 있는지 예측하는 모델을 만들었습니다.
예상 악용 가능성(Expected Exploitability)이라는 모델은 60%의 예측 정확도(또는 분류 용어를 사용하는 "정밀도")로 기능적 악용이 있을 취약점의 86%를 포착할 수 있습니다. 연구의 핵심은 시간이 지남에 따라 특정 메트릭의 변경을 허용하는 것입니다. 왜냐하면 취약점이 공개된 시점에 모든 관련 정보를 사용할 수 있는 것은 아니며 이후 이벤트를 사용하여 연구원이 예측의 정확성을 연마할 수 있기 때문입니다.
악용의 예측 가능성을 개선함으로써 기업은 공격에 노출되는 취약점의 수를 줄일 수 있습니다. 패치에 중요한 것으로 간주됨그러나 이 측정법에는 다른 용도도 있다고 칼리지 파크에 있는 메릴랜드 대학의 전기 및 컴퓨터 공학 부교수이자 지난주 USENIX 보안 회의에서 발표된 연구 논문의 저자 중 한 명인 Tudor Dumitraș는 말합니다.
"악용 가능성 예측은 패치 우선 순위를 지정하려는 회사뿐만 아니라 위험 수준을 계산하려는 보험 회사 및 개발자와도 관련이 있습니다. 이는 취약점을 악용할 수 있는 요소를 이해하는 단계일 수 있기 때문입니다."라고 그는 말합니다.
XNUMXD덴탈의 칼리지 파크의 메릴랜드 대학교 및 애리조나 주립 대학교 연구 취약점이 악용될 수 있거나 악용될 가능성이 있는 추가 정보를 기업에 제공하려는 가장 최근의 시도입니다. 2018년에는 애리조나 주립 대학과 USC 정보 과학 연구소의 연구원들이 다크 웹 토론 분석에 집중 취약점이 악용되거나 악용될 가능성을 예측하는 데 사용할 수 있는 문구 및 기능을 찾습니다.
그리고 2019년에는 데이터 연구 회사인 Centia Institute, RAND Corp., Virginia Tech의 연구원들이 다음과 같은 모델을 발표했습니다. 공격자가 취약점을 악용할 수 있는 향상된 예측.
많은 시스템이 분석가와 연구원의 수동 프로세스에 의존하지만 예상 악용 가능성 지표는 완전히 자동화될 수 있다고 Centia Institute의 공동 설립자이자 수석 데이터 과학자인 Jay Jacobs는 말합니다.
"이 연구는 분석가의 시간과 의견에 의존하지 않고 자동으로, 일관되게 모든 미묘한 단서를 찾는 데 초점을 맞추기 때문에 다릅니다."라고 그는 말합니다. “[이]이 모든 것이 실시간으로 대규모로 수행됩니다. 매일 공개되고 공개되는 수많은 취약점을 쉽게 따라잡고 발전할 수 있습니다.”
공개 당시 모든 기능을 사용할 수 있는 것은 아니었기 때문에 모델은 시간을 고려하고 소위 "라벨 노이즈"의 문제를 극복해야 했습니다. 기계 학습 알고리즘이 정적 시점을 사용하여 패턴을 예를 들어 악용 가능한 것과 악용할 수 없는 것으로 분류할 때 분류는 나중에 레이블이 잘못된 것으로 밝혀지면 알고리즘의 효율성을 약화시킬 수 있습니다.
PoC: 악용 가능성을 위한 보안 버그 구문 분석
연구원들은 거의 103,000개의 취약점에 대한 정보를 사용한 다음 48,709개의 공개 리포지토리(ExploitDB, BugTraq 및 Vulners)에서 수집한 21,849개의 개념 증명(PoC) 익스플로잇과 비교했는데, 이 익스플로잇은 XNUMX개의 고유한 취약점에 대한 익스플로잇이었습니다. 연구원들은 또한 키워드 및 토큰(하나 이상의 단어로 구성된 구문)에 대한 소셜 미디어 토론을 채굴하고 알려진 익스플로잇 데이터 세트를 생성했습니다.
그러나 PoC가 항상 취약점이 악용될 수 있는지 여부를 나타내는 좋은 지표는 아니라고 연구원들은 논문에서 말했습니다.
"PoC는 대상 응용 프로그램을 충돌시키거나 중단시켜 취약점을 유발하도록 설계되었으며 종종 직접 무기화할 수 없습니다."라고 연구원은 말했습니다. “[우리]는 이것이 기능적 익스플로잇을 예측하는 데 많은 오탐지로 이어지는 것을 관찰했습니다. 대조적으로, 우리는 코드 복잡성과 같은 특정 PoC 특성이 좋은 예측 변수라는 것을 발견했습니다. 취약점을 트리거하는 것은 모든 익스플로잇에 필요한 단계이며 이러한 기능을 기능적 익스플로잇 생성의 어려움과 인과적으로 연결하기 때문입니다."
Dumitraș는 연구원들이 공격자의 동기 모델을 만들어야 하기 때문에 취약점이 악용될지 여부를 예측하는 것은 추가적인 어려움을 추가한다고 말합니다.
"취약점이 야생에서 악용된다면 거기에 기능적 악용이 있다는 것을 알고 있지만 기능적 악용이 있는 다른 경우도 알고 있지만 야생에서 악용의 알려진 사례는 없습니다."라고 그는 말합니다. "기능적 익스플로잇이 있는 취약점은 위험하므로 우선적으로 패치해야 합니다."
현재 Cisco 소유인 Kenna Security와 Centia Institute에서 발표한 연구에 따르면 공개 익스플로잇 코드의 존재로 인해 XNUMX배 증가 익스플로잇이 야생에서 사용될 가능성이 있습니다.
그러나 패치의 우선 순위를 지정하는 것이 익스플로잇 예측이 비즈니스에 도움이 될 수 있는 유일한 방법은 아닙니다. 사이버 보험 회사는 정책 보유자의 잠재적 위험을 결정하는 방법으로 익스플로잇 예측을 사용할 수 있습니다. 또한, 이 모델은 개발 중인 소프트웨어를 분석하여 소프트웨어가 악용하기 더 쉬운지 또는 더 어려운지를 나타내는 패턴을 찾는 데 사용될 수 있다고 Dumitraș는 말합니다.
