Какие ошибки безопасности будут использоваться? Исследователи создают модель машинного обучения, чтобы выяснить это

Используя машинное обучение, обученное на данных из более чем двух десятков источников, команда университетских исследователей создала модель для прогнозирования того, какие уязвимости, скорее всего, приведут к функциональному эксплойту, потенциально ценный инструмент, который может помочь компаниям лучше решить, какие недостатки программного обеспечения следует расставить по приоритетам.

Модель под названием «Ожидаемая возможность использования» может отловить 60% уязвимостей, которые будут иметь функциональные эксплойты, с точностью предсказания — или «точностью», если использовать классификационную терминологию — 86%. Ключом к исследованию является возможность изменения определенных показателей с течением времени, поскольку не вся соответствующая информация доступна на момент раскрытия уязвимости, а использование более поздних событий позволило исследователям повысить точность прогноза.

Повышая предсказуемость эксплуатации, компании могут уменьшить количество уязвимостей, которые считается критическим для исправления, но у этой метрики есть и другие применения, говорит Тудор Думитраг, доцент кафедры электротехники и вычислительной техники Мэрилендского университета в Колледж-Парке и один из авторов исследовательской работы, опубликованной на прошлой неделе на конференции по безопасности USENIX.

«Прогнозирование возможности использования актуально не только для компаний, которые хотят расставить приоритеты при установке исправлений, но и для страховых компаний, которые пытаются рассчитать уровни риска, и для разработчиков, потому что это, возможно, шаг к пониманию того, что делает уязвимость пригодной для эксплуатации», — говорит он.

Ассоциация Исследования Университета Мэриленда в Колледж-Парке и Университета штата Аризона — это последняя попытка предоставить компаниям дополнительную информацию о том, какие уязвимости могут быть или могут быть использованы. В 2018 году исследователи из Университета штата Аризона и Института информационных наук Университета Южной Калифорнии сосредоточен на разборе темных веб-дискуссий чтобы найти фразы и функции, которые можно использовать для прогнозирования вероятности того, что уязвимость будет или была использована. 

А в 2019 году исследователи из исследовательской фирмы Cyentia Institute, RAND Corp. и Virginia Tech представили модель, которая улучшены прогнозы того, какие уязвимости будут использованы злоумышленниками.

Многие системы полагаются на ручные процессы, выполняемые аналитиками и исследователями, но метрика ожидаемой возможности эксплуатации может быть полностью автоматизирована, говорит Джей Джейкобс, главный специалист по данным и соучредитель Cyentia Institute.

«Это исследование отличается тем, что оно сосредоточено на автоматическом, последовательном обнаружении всех тонких подсказок, не полагаясь на время и мнение аналитика», — говорит он. «Все это делается в режиме реального времени и в масштабе. Он может легко идти в ногу с потоком уязвимостей, которые раскрываются и публикуются ежедневно».

Не все функции были доступны на момент раскрытия информации, поэтому модель также должна была учитывать время и преодолевать проблему так называемого «шума меток». Когда алгоритмы машинного обучения используют статический момент времени для классификации паттернов — скажем, на пригодные для использования и неиспользуемые — классификация может подорвать эффективность алгоритма, если позже будет обнаружено, что метка неверна.

PoC: анализ ошибок безопасности для возможности эксплуатации

Исследователи использовали информацию почти о 103,000 48,709 уязвимостей, а затем сравнили ее с 21,849 XNUMX эксплойтами для проверки концепции (PoCs), собранными из трех общедоступных репозиториев — ExploitDB, BugTraq и Vulners, которые представляли эксплойты для XNUMX XNUMX различных уязвимостей. Исследователи также изучили обсуждения в социальных сетях на предмет ключевых слов и токенов — фраз из одного или нескольких слов, а также создали набор данных об известных эксплойтах.

Однако PoC не всегда являются хорошим индикатором того, можно ли использовать уязвимость, отмечают исследователи в статье. 

«PoC предназначены для запуска уязвимости путем сбоя или зависания целевого приложения и часто не могут быть использованы напрямую в качестве оружия», — заявили исследователи. «[Мы] видим, что это приводит к множеству ложных срабатываний при прогнозировании функциональных эксплойтов. Напротив, мы обнаруживаем, что определенные характеристики PoC, такие как сложность кода, являются хорошими предикторами, потому что запуск уязвимости является необходимым шагом для каждого эксплойта, что делает эти функции причинно связанными со сложностью создания функциональных эксплойтов».

Думитраг отмечает, что прогнозирование того, будет ли эксплуатироваться уязвимость, создает дополнительные трудности, поскольку исследователям придется создать модель мотивов злоумышленников.

«Если уязвимость эксплуатируется в дикой природе, то мы знаем, что там есть функциональный эксплойт, но мы знаем и другие случаи, когда функциональный эксплойт есть, но нет известных примеров эксплуатации в дикой природе», — говорит он. «Уязвимости, которые имеют функциональный эксплойт, опасны, поэтому они должны быть приоритетными для исправления».

Исследование, опубликованное Kenna Security (сейчас принадлежащее Cisco), и Институтом Cientia, показало, что наличие общедоступного кода эксплойта привело к семикратному увеличению в вероятности того, что эксплойт будет использоваться в дикой природе.

Тем не менее, приоритизация исправлений — не единственный способ прогнозирования эксплойтов, который может принести пользу бизнесу. Операторы киберстрахования могут использовать прогнозирование эксплойтов как способ определения потенциального риска для держателей полисов. Кроме того, модель можно использовать для анализа программного обеспечения в процессе разработки, чтобы найти закономерности, которые могут указать, является ли программное обеспечение более простым или сложным для использования, говорит Думитраг.