Usando aprendizado de máquina treinado em dados de mais de duas dúzias de fontes, uma equipe de pesquisadores universitários criou um modelo para prever quais vulnerabilidades provavelmente resultarão em uma exploração funcional, uma ferramenta potencialmente valiosa que pode ajudar as empresas a decidir melhor quais falhas de software priorizar.
O modelo, chamado de Explorabilidade Esperada, pode capturar 60% das vulnerabilidades que terão explorações funcionais, com uma precisão de previsão – ou “precisão”, para usar a terminologia de classificação – de 86%. Uma chave para a pesquisa é permitir mudanças em certas métricas ao longo do tempo, porque nem todas as informações relevantes estão disponíveis no momento em que uma vulnerabilidade é divulgada, e o uso de eventos posteriores permitiu aos pesquisadores aprimorar a precisão da previsão.
Ao melhorar a previsibilidade da exploração, as empresas podem reduzir o número de vulnerabilidades que são considerado crítico para correção, mas a métrica também tem outros usos, diz Tudor Dumitraș, professor associado de engenharia elétrica e de computação da Universidade de Maryland em College Park, e um dos autores do trabalho de pesquisa publicado na semana passada na USENIX Security Conference.
“A previsão de explorabilidade não é relevante apenas para empresas que desejam priorizar a correção, mas também para seguradoras que estão tentando calcular os níveis de risco e para desenvolvedores, porque talvez seja um passo para entender o que torna uma vulnerabilidade explorável”, diz ele.
A Universidade de Maryland em College Park e pesquisa da Universidade Estadual do Arizona é a mais recente tentativa de fornecer às empresas informações adicionais sobre quais vulnerabilidades podem ser ou provavelmente serão exploradas. Em 2018, pesquisadores da Arizona State University e do USC Information Science Institute focado em analisar discussões da Dark Web para encontrar frases e recursos que possam ser usados para prever a probabilidade de uma vulnerabilidade ser ou ter sido explorada.
E em 2019, pesquisadores da empresa de pesquisa de dados Cyentia Institute, RAND Corp. e Virginia Tech apresentaram um modelo que predicações aprimoradas de quais vulnerabilidades seriam exploradas por invasores.
Muitos dos sistemas dependem de processos manuais de analistas e pesquisadores, mas a métrica de explotação esperada pode ser completamente automatizada, diz Jay Jacobs, cientista-chefe de dados e cofundador do Cyentia Institute.
“Esta pesquisa é diferente porque se concentra em captar todas as pistas sutis de forma automática, consistente e sem depender do tempo e das opiniões de um analista”, diz ele. “[T]isso tudo é feito em tempo real e em escala. Ele pode facilmente acompanhar e evoluir com a enxurrada de vulnerabilidades sendo divulgadas e publicadas diariamente.”
Nem todos os recursos estavam disponíveis no momento da divulgação, então o modelo também teve que levar em conta o tempo e superar o desafio do chamado “ruído de etiqueta”. Quando algoritmos de aprendizado de máquina usam um ponto estático no tempo para classificar padrões – digamos, em exploráveis e não exploráveis – a classificação pode prejudicar a eficácia do algoritmo, se o rótulo for posteriormente considerado incorreto.
PoCs: analisando bugs de segurança para explorabilidade
Os pesquisadores usaram informações sobre quase 103,000 vulnerabilidades e, em seguida, compararam com as 48,709 explorações de prova de conceito (PoCs) coletadas de três repositórios públicos – ExploitDB, BugTraq e Vulners – que representavam explorações para 21,849 das vulnerabilidades distintas. Os pesquisadores também exploraram as discussões nas mídias sociais em busca de palavras-chave e tokens – frases de uma ou mais palavras – e criaram um conjunto de dados de explorações conhecidas.
No entanto, os PoCs nem sempre são um bom indicador de se uma vulnerabilidade é explorável, disseram os pesquisadores no artigo.
“Os PoCs são projetados para acionar a vulnerabilidade travando ou travando o aplicativo de destino e muitas vezes não são diretamente armados”, afirmaram os pesquisadores. “[Nós] observamos que isso leva a muitos falsos positivos para prever explorações funcionais. Por outro lado, descobrimos que certas características de PoC, como a complexidade do código, são bons preditores, porque acionar uma vulnerabilidade é uma etapa necessária para cada exploração, tornando esses recursos causalmente conectados à dificuldade de criar explorações funcionais.”
Dumitraș observa que prever se uma vulnerabilidade será explorada adiciona dificuldade adicional, pois os pesquisadores teriam que criar um modelo dos motivos dos invasores.
“Se uma vulnerabilidade é explorada na natureza, sabemos que há uma exploração funcional lá, mas conhecemos outros casos em que há uma exploração funcional, mas não há instância conhecida de exploração na natureza”, diz ele. “Vulnerabilidades que têm uma exploração funcional são perigosas e, portanto, devem ser priorizadas para correção.”
Uma pesquisa publicada pela Kenna Security - agora de propriedade da Cisco - e pelo Cyentia Institute descobriu que a existência de código de exploração público levou a um aumento de sete vezes na probabilidade de que um exploit seria usado em estado selvagem.
No entanto, priorizar a correção não é a única maneira pela qual a previsão de exploração pode beneficiar as empresas. As operadoras de seguros cibernéticos podem usar a previsão de exploração como forma de determinar o risco potencial para os segurados. Além disso, o modelo pode ser usado para analisar software em desenvolvimento para encontrar padrões que possam indicar se o software é mais fácil ou mais difícil de explorar, diz Dumitraș.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
