Ce erori de securitate vor fi exploatate? Cercetătorii creează un model ML pentru a afla

Folosind învățarea automată instruită pe date din mai mult de două duzini de surse, o echipă de cercetători universitari a creat un model pentru a prezice vulnerabilitățile care vor avea ca rezultat o exploatare funcțională, un instrument potențial valoros care ar putea ajuta companiile să decidă mai bine ce defecte software să acorde prioritate.

Modelul, numit Expected Exploitability, poate prinde 60% dintre vulnerabilitățile care vor avea exploatări funcționale, cu o acuratețe a predicției – sau „precizie”, pentru a folosi terminologia de clasificare – de 86%. O cheie a cercetării este de a permite modificări ale anumitor valori de-a lungul timpului, deoarece nu toate informațiile relevante sunt disponibile în momentul în care o vulnerabilitate este dezvăluită, iar utilizarea evenimentelor ulterioare a permis cercetătorilor să perfecționeze acuratețea predicției.

Îmbunătățind predictibilitatea exploatării, companiile pot reduce numărul de vulnerabilități care sunt considerate critice pentru patch-uri, dar metrica are și alte utilizări, spune Tudor Dumitraș, profesor asociat de inginerie electrică și informatică la Universitatea din Maryland din College Park și unul dintre autorii lucrării de cercetare publicate săptămâna trecută la Conferința de securitate USENIX.

„Predicția de exploatare nu este relevantă doar pentru companiile care doresc să acorde prioritate corecțiilor, ci și pentru companiile de asigurări care încearcă să calculeze nivelurile de risc și pentru dezvoltatori, deoarece acesta este poate un pas către înțelegerea a ceea ce face o vulnerabilitate exploatabilă”, spune el.

Universitatea din Maryland din College Park și cercetarea Universității de Stat din Arizona este cea mai recentă încercare de a oferi companiilor informații suplimentare despre vulnerabilitățile care ar putea fi sau sunt susceptibile de a fi exploatate. În 2018, cercetători de la Arizona State University și USC Information Science Institute concentrat pe analizarea discuțiilor Dark Web pentru a găsi expresii și caracteristici care ar putea fi folosite pentru a prezice probabilitatea ca o vulnerabilitate să fie sau să fi fost exploatată. 

Și în 2019, cercetătorii de la firma de cercetare a datelor Cyentia Institute, RAND Corp. și Virginia Tech au prezentat un model care predicții îmbunătățite ale căror vulnerabilități ar fi exploatate de atacatori.

Multe dintre sisteme se bazează pe procese manuale ale analiștilor și cercetătorilor, dar metrica Expected Exploitability poate fi complet automatizată, spune Jay Jacobs, om de știință de date și co-fondator la Cyentia Institute.

„Această cercetare este diferită, deoarece se concentrează pe preluarea tuturor indiciilor subtile în mod automat, consecvent și fără a se baza pe timpul și opiniile unui analist”, spune el. „[A]sta se face în timp real și la scară. Poate să țină pasul și să evolueze cu ușurință odată cu valul de vulnerabilități dezvăluite și publicate zilnic.”

Nu toate caracteristicile erau disponibile la momentul dezvăluirii, așa că modelul a trebuit să ia în considerare și timpul și să depășească provocarea așa-numitului „zgomot de etichetă”. Atunci când algoritmii de învățare automată folosesc un moment static în timp pentru a clasifica tiparele – în, de exemplu, exploatabile și neexploatabile – clasificarea poate submina eficacitatea algoritmului, dacă eticheta se dovedește ulterior a fi incorectă.

PoCs: Analizarea erorilor de securitate pentru exploatare

Cercetătorii au folosit informații despre aproape 103,000 de vulnerabilități și apoi le-au comparat cu cele 48,709 de exploatații cu dovezi de concept (PoCs) colectate din trei depozite publice – ExploitDB, BugTraq și Vulners – care au reprezentat exploatări pentru 21,849 dintre vulnerabilitățile distincte. Cercetătorii au analizat, de asemenea, discuții pe rețelele sociale pentru cuvinte cheie și simboluri - expresii cu unul sau mai multe cuvinte - și au creat un set de date de exploit-uri cunoscute.

Cu toate acestea, PoC-urile nu sunt întotdeauna un bun indicator al faptului că o vulnerabilitate este exploatabilă, au spus cercetătorii în lucrare. 

„PoC-urile sunt concepute pentru a declanșa vulnerabilitatea prin prăbușirea sau blocarea aplicației țintă și adesea nu pot fi folosite în mod direct”, au declarat cercetătorii. „Observăm că acest lucru duce la multe fals pozitive pentru prezicerea exploatărilor funcționale. În schimb, descoperim că anumite caracteristici PoC, cum ar fi complexitatea codului, sunt buni predictori, deoarece declanșarea unei vulnerabilități este un pas necesar pentru fiecare exploatare, făcând aceste caracteristici conectate cauzal cu dificultatea creării exploatărilor funcționale.”

Dumitraș observă că a prezice dacă o vulnerabilitate va fi exploatată adaugă o dificultate suplimentară, deoarece cercetătorii ar trebui să creeze un model al motivelor atacatorilor.

„Dacă o vulnerabilitate este exploatată în sălbăticie, atunci știm că există o exploatare funcțională acolo, dar cunoaștem alte cazuri în care există o exploatare funcțională, dar nu există niciun caz cunoscut de exploatare în sălbăticie”, spune el. „Vulnerabilitățile care au o exploatare funcțională sunt periculoase și, prin urmare, ar trebui să li se acorde prioritate pentru corecție.”

Cercetările publicate de Kenna Security – acum deținute de Cisco – și de Institutul Cyentia au descoperit că existența codului de exploatare publică a dus la o creștere de șapte ori în probabilitatea ca o exploatare să fie folosită în sălbăticie.

Cu toate acestea, acordarea priorităților de corecție nu este singurul mod în care predicția exploatării poate aduce beneficii companiilor. Transportatorii de asigurări cibernetice ar putea folosi predicția de exploatare ca o modalitate de a determina riscul potențial pentru deținătorii de polițe. În plus, modelul ar putea fi folosit pentru a analiza software-ul în dezvoltare pentru a găsi modele care ar putea indica dacă software-ul este mai ușor sau mai greu de exploatat, spune Dumitraș.