Jakie błędy bezpieczeństwa zostaną wykorzystane? Naukowcy tworzą model ML, aby się dowiedzieć

Wykorzystując uczenie maszynowe wyszkolone na danych z ponad dwudziestu źródeł, zespół naukowców uniwersyteckich stworzył model do przewidywania, które luki prawdopodobnie spowodują funkcjonalny exploit, potencjalnie cenne narzędzie, które może pomóc firmom lepiej decydować, które wady oprogramowania należy traktować priorytetowo.

Model o nazwie Expected Exploitability może wykryć 60% luk, które będą zawierały funkcjonalne exploity, z dokładnością przewidywania — lub „precyzją”, używając terminologii klasyfikacyjnej — na poziomie 86%. Kluczem do badań jest umożliwienie zmian niektórych wskaźników w czasie, ponieważ nie wszystkie istotne informacje są dostępne w momencie ujawnienia luki, a wykorzystanie późniejszych zdarzeń pozwoliło naukowcom poprawić dokładność prognozy.

Poprawiając przewidywalność wykorzystania, firmy mogą zmniejszyć liczbę luk, które są uznane za krytyczne dla łatania, ale metryka ma również inne zastosowania, mówi Tudor Dumitraș, profesor nadzwyczajny inżynierii elektrycznej i komputerowej na University of Maryland w College Park i jeden z autorów artykułu badawczego opublikowanego w zeszłym tygodniu na konferencji USENIX Security Conference.

„Przewidywanie możliwości wykorzystania jest istotne nie tylko dla firm, które chcą priorytetyzować łatanie, ale także dla firm ubezpieczeniowych, które próbują obliczyć poziomy ryzyka, oraz dla programistów, ponieważ jest to być może krok w kierunku zrozumienia, co sprawia, że ​​można wykorzystać lukę w zabezpieczeniach”, mówi.

Połączenia Badania University of Maryland w College Park i Arizona State University to najnowsza próba dostarczenia firmom dodatkowych informacji o tym, które luki mogą lub mogą zostać wykorzystane. W 2018 roku naukowcy z Arizona State University i USC Information Science Institute skupiony na analizowaniu dyskusji w Dark Web w celu znalezienia fraz i funkcji, które można wykorzystać do przewidzenia prawdopodobieństwa, że ​​luka zostanie lub została wykorzystana. 

W 2019 roku naukowcy z firmy badawczej Cyentia Institute, RAND Corp. i Virginia Tech zaprezentowali model, który ulepszone predykacje, które podatności zostałyby wykorzystane przez atakujących.

Wiele systemów opiera się na procesach ręcznych przeprowadzanych przez analityków i badaczy, ale metryka oczekiwanej możliwości wykorzystania może być całkowicie zautomatyzowana, mówi Jay Jacobs, główny analityk danych i współzałożyciel w Instytucie Cyentia.

„Te badania są inne, ponieważ skupiają się na automatycznym, konsekwentnym i bez polegania na czasie i opiniach analityka, wychwytywaniu wszystkich subtelnych wskazówek” – mówi. „[W]szystko to odbywa się w czasie rzeczywistym i na dużą skalę. Może łatwo nadążyć i ewoluować wraz z zalewem luk w zabezpieczeniach, które są codziennie ujawniane i publikowane”.

Nie wszystkie funkcje były dostępne w momencie ujawnienia, więc model musiał również brać pod uwagę czas i sprostać wyzwaniu, jakim jest tak zwany „szum etykiet”. Kiedy algorytmy uczenia maszynowego używają statycznego punktu w czasie do klasyfikowania wzorców — na przykład możliwe do wykorzystania i nie do wykorzystania — klasyfikacja może podważyć skuteczność algorytmu, jeśli później okaże się, że etykieta jest nieprawidłowa.

PoC: analizowanie błędów bezpieczeństwa pod kątem możliwości wykorzystania

Badacze wykorzystali informacje o prawie 103,000 48,709 luk, a następnie porównali je z 21,849 XNUMX exploitami typu proof-of-concept (PoC) zebranymi z trzech publicznych repozytoriów — ExploitDB, BugTraq i Vulners — które reprezentowały exploity dla XNUMX XNUMX różnych luk. Naukowcy przeszukali także dyskusje w mediach społecznościowych pod kątem słów kluczowych i tokenów — fraz składających się z jednego lub więcej słów — oraz stworzyli zestaw danych dotyczących znanych exploitów.

Jednak PoC nie zawsze są dobrym wskaźnikiem tego, czy daną lukę można wykorzystać, stwierdzili naukowcy w artykule. 

„PoC są zaprojektowane tak, aby wyzwalać lukę w zabezpieczeniach poprzez awarię lub zawieszenie docelowej aplikacji i często nie można ich bezpośrednio uzbroić” – stwierdzili naukowcy. „[Zauważamy], że prowadzi to do wielu fałszywych alarmów w przewidywaniu funkcjonalnych exploitów. W przeciwieństwie do tego, odkrywamy, że pewne cechy PoC, takie jak złożoność kodu, są dobrymi predyktorami, ponieważ wyzwolenie luki jest niezbędnym krokiem dla każdego exploita, co powoduje, że te funkcje są przyczynowo powiązane z trudnością tworzenia funkcjonalnych exploitów.

Dumitraș zauważa, że ​​przewidywanie, czy luka zostanie wykorzystana, stanowi dodatkową trudność, ponieważ badacze musieliby stworzyć model motywów atakujących.

„Jeśli luka jest wykorzystywana w środowisku naturalnym, wiemy, że istnieje funkcjonalny exploit, ale znamy inne przypadki, w których występuje funkcjonalny exploit, ale nie ma znanego przypadku wykorzystania w środowisku naturalnym”, mówi. „Luki, które zawierają funkcjonalny exploit, są niebezpieczne i dlatego powinny być traktowane priorytetowo przy łataniu”.

Badania opublikowane przez Kenna Security — obecnie należące do Cisco — i Cyentia Institute wykazały, że istnienie publicznego kodu wykorzystującego exploita doprowadziło do siedmiokrotnego wzrostu prawdopodobieństwo, że exploit zostanie wykorzystany w środowisku naturalnym.

Jednak nadawanie priorytetów poprawkom to nie jedyny sposób, w jaki przewidywanie exploitów może przynieść korzyści firmom. Przewoźnicy korzystający z ubezpieczenia cybernetycznego mogliby wykorzystać przewidywanie wykorzystania luk jako sposób na określenie potencjalnego ryzyka dla posiadaczy polis. Ponadto model można wykorzystać do analizy opracowywanego oprogramowania w celu znalezienia wzorców, które mogą wskazywać, czy oprogramowanie jest łatwiejsze, czy trudniejsze do wykorzystania, mówi Dumitraș.