Med hjälp av maskininlärning tränad på data från mer än två dussin källor har ett team av universitetsforskare skapat en modell för att förutsäga vilka sårbarheter som sannolikt kommer att resultera i en funktionell exploatering, ett potentiellt värdefullt verktyg som kan hjälpa företag att bättre bestämma vilka mjukvarubrister som ska prioriteras.
Modellen, som kallas Expected Exploitability, kan fånga upp 60 % av sårbarheterna som kommer att ha funktionella exploateringar, med en prediktionsnoggrannhet - eller "precision", för att använda klassificeringsterminologi - på 86%. En nyckel till forskningen är att tillåta förändringar i vissa mått över tid, eftersom inte all relevant information är tillgänglig när en sårbarhet avslöjas, och genom att använda senare händelser kunde forskarna finslipa förutsägelsens exakthet.
Genom att förbättra förutsägbarheten av exploatering kan företag minska antalet sårbarheter som finns anses vara kritiska för patchning, men måtten har andra användningsområden också, säger Tudor Dumitraș, docent i el- och datorteknik vid University of Maryland i College Park, och en av författarna till forskningsartikeln som publicerades förra veckan på USENIX Security Conference.
"Förutsägelser om exploatering är inte bara relevant för företag som vill prioritera patchning, utan också för försäkringsbolag som försöker beräkna risknivåer och för utvecklare, eftersom det här kanske är ett steg mot att förstå vad som gör en sårbarhet exploaterbar", säger han.
Smakämnen University of Maryland vid College Park och Arizona State University forskning är det senaste försöket att ge företag ytterligare information om vilka sårbarheter som kan eller sannolikt kommer att utnyttjas. Under 2018, forskare från Arizona State University och USC Information Science Institute fokuserat på att analysera Dark Web-diskussioner för att hitta fraser och funktioner som kan användas för att förutsäga sannolikheten för att en sårbarhet skulle utnyttjas eller hade utnyttjats.
Och 2019 presenterade forskare från dataforskningsföretaget Cyentia Institute, RAND Corp. och Virginia Tech en modell som förbättrade förutsägelser om vilka sårbarheter som skulle utnyttjas av angripare.
Många av systemen förlitar sig på manuella processer av analytiker och forskare, men mätvärdet Expected Exploitability kan automatiseras helt, säger Jay Jacobs, datavetenskapschef och medgrundare vid Cyentia Institute.
"Denna forskning är annorlunda eftersom den fokuserar på att plocka upp alla subtila ledtrådar automatiskt, konsekvent och utan att förlita sig på tid och åsikter från en analytiker", säger han. "[Detta] görs i realtid och i stor skala. Det kan lätt hänga med och utvecklas med floden av sårbarheter som avslöjas och publiceras dagligen."
Inte alla funktioner var tillgängliga vid tidpunkten för avslöjandet, så modellen var också tvungen att ta hänsyn till tid och övervinna utmaningen med så kallat "etikettbrus". När maskininlärningsalgoritmer använder en statisk tidpunkt för att klassificera mönster - i t.ex. exploateringsbara och icke-exploaterbara - kan klassificeringen undergräva effektiviteten av algoritmen, om etiketten senare visar sig vara felaktig.
PoC:er: Parsning av säkerhetsbuggar för exploatering
Forskarna använde information om nästan 103,000 48,709 sårbarheter och jämförde sedan det med de 21,849 XNUMX proofs-of-concept (PoCs) utnyttjandena som samlats in från tre offentliga arkiv – ExploitDB, BugTraq och Vulners – som representerade utnyttjande av XNUMX XNUMX av de distinkta sårbarheterna. Forskarna gruvade också sociala medier diskussioner för nyckelord och tokens - fraser av ett eller flera ord - samt skapade en datauppsättning av kända bedrifter.
PoCs är dock inte alltid en bra indikator på om en sårbarhet är exploaterbar, sa forskarna i tidningen.
"PoCs är designade för att utlösa sårbarheten genom att krascha eller hänga målapplikationen och är ofta inte direkt vapenbara", sa forskarna. "[vi] observerar att detta leder till många falska positiva resultat för att förutsäga funktionella utnyttjande. Däremot upptäcker vi att vissa PoC-egenskaper, såsom kodkomplexiteten, är bra prediktorer, eftersom att utlösa en sårbarhet är ett nödvändigt steg för varje exploatering, vilket gör dessa funktioner kausalt kopplade till svårigheten att skapa funktionella exploateringar.”
Dumitraș noterar att det ger ytterligare svårigheter att förutsäga om en sårbarhet kommer att utnyttjas, eftersom forskarna måste skapa en modell av angriparnas motiv.
"Om en sårbarhet utnyttjas i naturen, så vet vi att det finns en funktionell exploatering där, men vi känner till andra fall där det finns en funktionell exploatering, men det finns inget känt fall av exploatering i det vilda", säger han. "Sårbarheter som har ett funktionellt utnyttjande är farliga och därför bör de prioriteras för patchning."
Forskning publicerad av Kenna Security - nu ägd av Cisco - och Cyentia Institute fann det förekomsten av offentlig exploateringskod ledde till en sjufaldig ökning med sannolikheten att en exploatering skulle användas i det vilda.
Ändå är prioritering av patchning inte det enda sättet som exploateringsprognosen kan gynna företag. Cyberförsäkringsbolag skulle kunna använda exploateringsprognoser som ett sätt att fastställa den potentiella risken för försäkringstagarna. Dessutom kan modellen användas för att analysera programvara under utveckling för att hitta mönster som kan indikera om programvaran är lättare eller svårare att utnyttja, säger Dumitraș.
