Z uporabo strojnega učenja, usposobljenega za podatke iz več kot dva ducata virov, je skupina univerzitetnih raziskovalcev ustvarila model za napovedovanje, katere ranljivosti bodo verjetno povzročile funkcionalno izkoriščanje, potencialno dragoceno orodje, ki bi lahko podjetjem pomagalo pri boljšem odločanju, katerim pomanjkljivostim programske opreme dati prednost.
Model, imenovan Expected Exploitability, lahko ujame 60 % ranljivosti, ki bodo imele funkcionalne izkoriščanja, s točnostjo napovedi – ali »natančnostjo«, če uporabimo klasifikacijsko terminologijo – 86 %. Ključno pri raziskavi je omogočiti spremembe določenih meritev skozi čas, ker v trenutku, ko je ranljivost razkrita, niso na voljo vse pomembne informacije, uporaba kasnejših dogodkov pa je raziskovalcem omogočila, da so izpopolnili natančnost napovedi.
Z izboljšanjem predvidljivosti izkoriščanja lahko podjetja zmanjšajo število ranljivosti, ki so kritično za popravilo, vendar ima metrika tudi druge uporabe, pravi Tudor Dumitraș, izredni profesor elektrotehnike in računalništva na Univerzi Maryland v College Parku in eden od avtorjev raziskovalnega prispevka, objavljenega prejšnji teden na varnostni konferenci USENIX.
»Napoved izkoriščenosti ni pomembna le za podjetja, ki želijo dati prednost popravkom, ampak tudi za zavarovalnice, ki poskušajo izračunati ravni tveganja, in za razvijalce, ker je to morda korak k razumevanju, zakaj je ranljivost mogoče izkoristiti,« pravi.
O Univerza Maryland v College Parku in raziskava Državne univerze Arizona je najnovejši poskus, da bi podjetjem dali dodatne informacije o tem, katere ranljivosti bi lahko bile ali verjetno bodo izkoriščene. Leta 2018 so raziskovalci z univerze Arizona State in USC Information Science Institute osredotočen na razčlenjevanje razprav o temnem spletu najti besedne zveze in funkcije, ki bi jih lahko uporabili za napovedovanje verjetnosti, da bo ranljivost izkoriščena ali je bila izkoriščena.
In leta 2019 so raziskovalci iz podjetja za raziskavo podatkov Cyentia Institute, RAND Corp. in Virginia Tech predstavili model, ki izboljšana predvidevanja, katere ranljivosti bi napadalci izkoristili.
Številni sistemi se zanašajo na ročne postopke analitikov in raziskovalcev, vendar je metriko pričakovane izkoriščenosti mogoče popolnoma avtomatizirati, pravi Jay Jacobs, glavni podatkovni znanstvenik in soustanovitelj na inštitutu Cyentia.
"Ta raziskava je drugačna, ker se osredotoča na samodejno, dosledno in brez zanašanja na čas in mnenja analitika," pravi. »Vse to poteka v realnem času in v velikem obsegu. Z lahkoto sledi in se razvija s poplavo ranljivosti, ki se dnevno razkriva in objavlja.«
V času razkritja niso bile na voljo vse funkcije, zato je moral model upoštevati tudi čas in premagati izziv tako imenovanega "šuma etikete". Ko algoritmi strojnega učenja uporabljajo statično točko v času za razvrščanje vzorcev – recimo na tiste, ki jih je mogoče uporabiti, in tiste, ki jih ni mogoče uporabiti – lahko klasifikacija spodkoplje učinkovitost algoritma, če se pozneje izkaže, da je oznaka napačna.
PoCs: Razčlenjevanje varnostnih napak za izkoriščanje
Raziskovalci so uporabili informacije o skoraj 103,000 ranljivostih in jih nato primerjali z 48,709 izkoriščanji dokazov koncepta (PoCs), zbranimi iz treh javnih skladišč – ExploitDB, BugTraq in Vulners – ki so predstavljali izkoriščanja za 21,849 različnih ranljivosti. Raziskovalci so prav tako izkopali razprave v družabnih medijih za ključne besede in žetone – besedne zveze ene ali več besed – ter ustvarili nabor podatkov znanih podvigov.
Vendar pa PoC niso vedno dober pokazatelj, ali je ranljivost mogoče izkoristiti, so povedali raziskovalci v članku.
"PoC-ji so zasnovani tako, da sprožijo ranljivost z zrušitvijo ali prekinitvijo ciljne aplikacije in jih pogosto ni mogoče neposredno uporabiti kot orožje," so navedli raziskovalci. »Opazili smo, da to vodi do številnih napačnih pozitivnih rezultatov za napovedovanje funkcionalnih izkoriščanj. Nasprotno pa odkrivamo, da so nekatere značilnosti PoC, kot je zapletenost kode, dobri napovedovalci, saj je sprožitev ranljivosti nujen korak za vsako izkoriščanje, zaradi česar so te funkcije vzročno povezane s težavami pri ustvarjanju funkcionalnih izkoriščanj.«
Dumitraș ugotavlja, da napovedovanje, ali bo ranljivost izkoriščena, dodaja dodatne težave, saj bi morali raziskovalci ustvariti model motivov napadalcev.
"Če je ranljivost izkoriščena v divjini, potem vemo, da obstaja funkcionalno izkoriščanje, vendar poznamo druge primere, kjer obstaja funkcionalno izkoriščanje, vendar ni znanega primera izkoriščanja v naravi," pravi. "Ranljivosti, ki imajo funkcionalno izkoriščanje, so nevarne, zato jim je treba dati prednost pri popravku."
Raziskava, ki sta jo objavila Kenna Security - zdaj v lasti Cisca - in Inštitut Cyentia, sta to ugotovila obstoj kode javnega izkoriščanja je povzročil sedemkratno povečanje v verjetnosti, da bi bil izkoriščanje uporabljeno v naravi.
Vendar prednostno določanje popravkov ni edini način, na katerega lahko predvidevanje izkoriščanja koristi podjetjem. Kibernetski zavarovalniki bi lahko uporabili predvidevanje izkoriščanja kot način za določitev potencialnega tveganja za imetnike polic. Poleg tega bi lahko model uporabili za analizo programske opreme v razvoju, da bi našli vzorce, ki bi lahko pokazali, ali je programsko opremo lažje ali težje izkoriščati, pravi Dumitraș.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
