Ved å bruke maskinlæring trent på data fra mer enn to dusin kilder, har et team av universitetsforskere laget en modell for å forutsi hvilke sårbarheter som sannsynligvis vil resultere i en funksjonell utnyttelse, et potensielt verdifullt verktøy som kan hjelpe bedrifter til å bedre bestemme hvilke programvarefeil som skal prioriteres.
Modellen, kalt Expected Exploitability, kan fange opp 60 % av sårbarhetene som vil ha funksjonelle utnyttelser, med en prediksjonsnøyaktighet – eller “presisjon”, for å bruke klassifiseringsterminologi – på 86 %. En nøkkel til forskningen er å tillate endringer i visse beregninger over tid, fordi ikke all relevant informasjon er tilgjengelig på det tidspunktet en sårbarhet blir avslørt, og ved å bruke senere hendelser tillot forskerne å finpusse prediksjonens nøyaktighet.
Ved å forbedre forutsigbarheten til utnyttelse kan bedrifter redusere antall sårbarheter som er anses som kritisk for patching, men metrikken har også andre bruksområder, sier Tudor Dumitraș, en førsteamanuensis i elektro- og datateknikk ved University of Maryland i College Park, og en av forfatterne av forskningsartikkelen publisert forrige uke på USENIX Security Conference.
«Prediksjon av utnyttelsesevne er ikke bare relevant for selskaper som ønsker å prioritere patching, men også for forsikringsselskaper som prøver å beregne risikonivåer og for utviklere, fordi dette kanskje er et skritt mot å forstå hva som gjør en sårbarhet utnyttbar,» sier han.
De University of Maryland ved College Park og Arizona State University forskning er det siste forsøket på å gi bedrifter ytterligere informasjon om hvilke sårbarheter som kan bli eller sannsynligvis vil bli utnyttet. I 2018, forskere fra Arizona State University og USC Information Science Institute fokusert på å analysere Dark Web-diskusjoner for å finne setninger og funksjoner som kan brukes til å forutsi sannsynligheten for at en sårbarhet ville bli, eller hadde blitt, utnyttet.
Og i 2019 presenterte forskere fra dataforskningsfirmaet Cyentia Institute, RAND Corp. og Virginia Tech en modell som forbedrede prediksjoner om hvilke sårbarheter som vil bli utnyttet av angripere.
Mange av systemene er avhengige av manuelle prosesser fra analytikere og forskere, men Expected Exploitability-metriken kan automatiseres fullstendig, sier Jay Jacobs, dataforsker og medgründer ved Cyentia Institute.
"Denne forskningen er annerledes fordi den fokuserer på å plukke opp alle de subtile ledetrådene automatisk, konsekvent og uten å stole på tiden og meningene til en analytiker," sier han. «[Dette] gjøres i sanntid og i stor skala. Det kan enkelt følge med og utvikle seg med flommen av sårbarheter som avsløres og publiseres daglig.»
Ikke alle funksjonene var tilgjengelige på tidspunktet for avsløringen, så modellen måtte også ta hensyn til tid og overvinne utfordringen med såkalt "etikettstøy." Når maskinlæringsalgoritmer bruker et statisk tidspunkt for å klassifisere mønstre - i for eksempel utnyttbare og ikke-utnyttbare - kan klassifiseringen undergrave effektiviteten til algoritmen, hvis etiketten senere viser seg å være feil.
PoCs: Parsing av sikkerhetsfeil for utnyttelse
Forskerne brukte informasjon om nesten 103,000 48,709 sårbarheter og sammenlignet det med 21,849 XNUMX proofs-of-concept (PoCs) utnyttelser samlet inn fra tre offentlige depoter – ExploitDB, BugTraq og Vulners – som representerte utnyttelser for XNUMX XNUMX av de distinkte sårbarhetene. Forskerne gruvede også sosiale medier-diskusjoner for nøkkelord og tokens - setninger av ett eller flere ord - samt opprettet et datasett med kjente utnyttelser.
PoC-er er imidlertid ikke alltid en god indikator på om en sårbarhet kan utnyttes, sa forskerne i papiret.
"PoC-er er designet for å utløse sårbarheten ved å krasje eller henge målapplikasjonen og er ofte ikke direkte våpenbare," sa forskerne. "[Vi observerer at dette fører til mange falske positiver for å forutsi funksjonelle utnyttelser. Derimot oppdager vi at visse PoC-karakteristikker, som kodekompleksiteten, er gode prediktorer, fordi å utløse en sårbarhet er et nødvendig skritt for hver utnyttelse, noe som gjør disse funksjonene kausalt forbundet med vanskeligheten med å lage funksjonelle utnyttelser.»
Dumitraș bemerker at å forutsi om en sårbarhet vil bli utnyttet gir ytterligere problemer, ettersom forskerne må lage en modell av angripernes motiver.
"Hvis en sårbarhet utnyttes i naturen, så vet vi at det er en funksjonell utnyttelse der, men vi kjenner andre tilfeller der det er en funksjonell utnyttelse, men det er ingen kjente tilfeller av utnyttelse i naturen," sier han. "Sårbarheter som har en funksjonell utnyttelse er farlige, og derfor bør de prioriteres for patching."
Forskning publisert av Kenna Security - nå eid av Cisco - og Cyentia Institute fant det Eksistensen av offentlig utnyttelseskode førte til en syvdobling med sannsynlighet for at en utnyttelse vil bli brukt i naturen.
Likevel er prioritering av patching ikke den eneste måten utnyttelsesprediksjonen kan komme bedrifter til gode. Cyberforsikringsselskaper kan bruke utnyttelsesprediksjon som en måte å bestemme den potensielle risikoen for forsikringstakere. I tillegg kan modellen brukes til å analysere programvare under utvikling for å finne mønstre som kan indikere om programvaren er enklere eller vanskeligere å utnytte, sier Dumitraș.
