บั๊กความปลอดภัยใดที่จะถูกเอารัดเอาเปรียบ? นักวิจัยสร้างแบบจำลอง ML เพื่อค้นหาคำตอบ

ทีมนักวิจัยของมหาวิทยาลัยได้ใช้แมชชีนเลิร์นนิงที่ได้รับการฝึกฝนเกี่ยวกับข้อมูลจากแหล่งข้อมูลมากกว่าสองโหล ได้สร้างแบบจำลองสำหรับคาดการณ์ว่าช่องโหว่ใดบ้างที่อาจส่งผลให้เกิดการใช้ประโยชน์จากการทำงาน ซึ่งเป็นเครื่องมืออันมีค่าที่สามารถช่วยให้บริษัทต่างๆ ตัดสินใจได้ดีขึ้นว่าซอฟต์แวร์จะจัดลำดับความสำคัญของข้อบกพร่องใด

โมเดลนี้เรียกว่า Expected Exploitability สามารถจับ 60% ของช่องโหว่ที่จะมีช่องโหว่เชิงฟังก์ชัน โดยมีความแม่นยำในการคาดการณ์ หรือ "ความแม่นยำ" เพื่อใช้คำศัพท์การจัดหมวดหมู่ 86% กุญแจสำคัญในการวิจัยคือการอนุญาตให้มีการเปลี่ยนแปลงในตัวชี้วัดบางอย่างเมื่อเวลาผ่านไป เนื่องจากข้อมูลที่เกี่ยวข้องไม่พร้อมใช้งานทั้งหมดในขณะที่มีการเปิดเผยช่องโหว่ และการใช้เหตุการณ์ในภายหลังช่วยให้นักวิจัยสามารถปรับปรุงความแม่นยำของการทำนายได้

ด้วยการปรับปรุงความสามารถในการคาดการณ์ของการแสวงประโยชน์ บริษัทต่างๆ สามารถลดจำนวนช่องโหว่ที่ ถือว่าสำคัญสำหรับการแพทช์Tudor Dumitraș รองศาสตราจารย์ด้านวิศวกรรมไฟฟ้าและคอมพิวเตอร์ที่มหาวิทยาลัยแมริแลนด์ที่คอลเลจพาร์ค และหนึ่งในผู้เขียนรายงานการวิจัยที่ตีพิมพ์เมื่อสัปดาห์ที่แล้วที่ USENIX Security Conference กล่าว แต่เมตริกนี้ยังมีประโยชน์อื่นๆ อีกด้วย

“การคาดคะเนความสามารถในการใช้ประโยชน์ไม่ได้เกี่ยวข้องกับบริษัทที่ต้องการจัดลำดับความสำคัญของการแพตช์เท่านั้น แต่ยังรวมถึงบริษัทประกันภัยที่พยายามคำนวณระดับความเสี่ยงและนักพัฒนาด้วย เพราะนี่อาจเป็นขั้นตอนในการทำความเข้าใจสิ่งที่ทำให้ช่องโหว่สามารถใช้ประโยชน์ได้” เขากล่าว

พื้นที่ การวิจัยมหาวิทยาลัยแมริแลนด์ที่คอลเลจพาร์คและมหาวิทยาลัยรัฐแอริโซนา เป็นความพยายามครั้งล่าสุดในการให้ข้อมูลเพิ่มเติมแก่บริษัทเกี่ยวกับช่องโหว่ที่อาจมีหรือมีแนวโน้มที่จะถูกเอารัดเอาเปรียบ ในปี 2018 นักวิจัยจาก Arizona State University และ USC Information Science Institute เน้นการแยกวิเคราะห์การสนทนา Dark Web เพื่อค้นหาวลีและคุณลักษณะที่สามารถใช้เพื่อคาดการณ์ความเป็นไปได้ที่ช่องโหว่จะถูกหรือเคยถูกเอารัดเอาเปรียบ 

และในปี 2019 นักวิจัยจากบริษัทวิจัยข้อมูล Cyentia Institute, RAND Corp. และ Virginia Tech ได้นำเสนอแบบจำลองที่ ปรับปรุงการคาดการณ์ว่าผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ใดบ้าง.

Jay Jacobs หัวหน้านักวิทยาศาสตร์ด้านข้อมูลและผู้ร่วมก่อตั้งที่ Cyentia Institute กล่าวว่าระบบจำนวนมากอาศัยกระบวนการที่ต้องทำด้วยตนเอง แต่การวัดผลที่คาดหวังสามารถทำงานอัตโนมัติได้ทั้งหมด

“งานวิจัยชิ้นนี้แตกต่างออกไปเพราะมุ่งเน้นไปที่การรวบรวมเบาะแสที่ละเอียดอ่อนทั้งหมดโดยอัตโนมัติ สม่ำเสมอและไม่ต้องอาศัยเวลาและความคิดเห็นของนักวิเคราะห์” เขากล่าว “[T]ของเขาเสร็จสิ้นในเวลาจริงและตามขนาด มันสามารถติดตามและพัฒนาได้อย่างง่ายดายด้วยการเปิดเผยและเผยแพร่ช่องโหว่จำนวนมากทุกวัน”

คุณลักษณะบางอย่างไม่พร้อมใช้งานในขณะที่เปิดเผย ดังนั้นโมเดลจึงต้องคำนึงถึงเวลาและเอาชนะความท้าทายที่เรียกว่า "สัญญาณรบกวนจากฉลาก" เมื่ออัลกอริธึมแมชชีนเลิร์นนิงใช้จุดคงที่ในเวลาเพื่อจำแนกรูปแบบ กล่าวคือ ใช้ประโยชน์ได้และไม่สามารถใช้ประโยชน์ได้ การจำแนกประเภทอาจบ่อนทำลายประสิทธิภาพของอัลกอริทึม หากพบว่าป้ายกำกับไม่ถูกต้องในภายหลัง

PoCs: การแยกวิเคราะห์จุดบกพร่องด้านความปลอดภัยเพื่อการใช้ประโยชน์

นักวิจัยใช้ข้อมูลเกี่ยวกับช่องโหว่เกือบ 103,000 ช่องโหว่ จากนั้นเปรียบเทียบกับช่องโหว่ Proof-of-Concept (PoC) จำนวน 48,709 รายการ ที่รวบรวมจากคลังข้อมูลสาธารณะสามแห่ง ได้แก่ ExploitDB, BugTraq และ Vulners ซึ่งแสดงถึงช่องโหว่ 21,849 รายการ นักวิจัยยังขุดการสนทนาบนโซเชียลมีเดียสำหรับคำหลักและโทเค็น — วลีตั้งแต่หนึ่งคำขึ้นไป — และสร้างชุดข้อมูลของการหาประโยชน์ที่รู้จัก

อย่างไรก็ตาม PoCs ไม่ใช่ตัวบ่งชี้ที่ดีเสมอไปว่าช่องโหว่นั้นมีประโยชน์หรือไม่ นักวิจัยกล่าวในรายงาน 

"PoCs ได้รับการออกแบบมาเพื่อกระตุ้นช่องโหว่โดยการหยุดทำงานหรือหยุดการทำงานของแอพพลิเคชันเป้าหมายและมักไม่เป็นอาวุธโดยตรง" นักวิจัยกล่าว "[W]e สังเกตว่าสิ่งนี้นำไปสู่ผลบวกที่ผิดพลาดมากมายสำหรับการทำนายการหาประโยชน์จากการทำงาน ในทางตรงกันข้าม เราพบว่าลักษณะเฉพาะของ PoC บางอย่าง เช่น ความซับซ้อนของโค้ด เป็นตัวทำนายที่ดี เนื่องจากการเรียกใช้ช่องโหว่เป็นขั้นตอนที่จำเป็นสำหรับการหาช่องโหว่ทุกครั้ง ทำให้คุณลักษณะเหล่านี้เชื่อมโยงกับความยากลำบากในการสร้างการหาประโยชน์จากการทำงาน”

Dumitraș ตั้งข้อสังเกตว่าการคาดการณ์ว่าจะใช้ประโยชน์จากช่องโหว่หรือไม่นั้นเพิ่มความยากลำบากขึ้น เนื่องจากนักวิจัยจะต้องสร้างแบบจำลองแรงจูงใจของผู้โจมตี

“หากมีการใช้ประโยชน์จากช่องโหว่ในธรรมชาติ เรารู้ว่ามีการใช้ประโยชน์จากช่องโหว่นั้น แต่เราทราบกรณีอื่นๆ ที่มีการใช้ประโยชน์จากฟังก์ชั่น แต่ไม่มีตัวอย่างใดที่ทราบว่าเป็นการแสวงหาประโยชน์ในธรรมชาติ” เขากล่าว “ช่องโหว่ที่มีการใช้ประโยชน์จากการทำงานเป็นสิ่งที่อันตราย ดังนั้นพวกเขาจึงควรได้รับการจัดลำดับความสำคัญสำหรับการแพตช์”

งานวิจัยที่ตีพิมพ์โดย Kenna Security ซึ่งปัจจุบันเป็นของ Cisco และสถาบัน Cyentia พบว่า การมีอยู่ของรหัสการเอารัดเอาเปรียบสาธารณะทำให้เพิ่มขึ้นเจ็ดเท่า ในโอกาสที่การเอารัดเอาเปรียบจะถูกนำไปใช้ในป่า

การจัดลำดับความสำคัญของการแพตช์ไม่ใช่วิธีเดียวที่การคาดการณ์การหาประโยชน์จะเป็นประโยชน์ต่อธุรกิจ ผู้ให้บริการประกันภัยไซเบอร์สามารถใช้การคาดคะเนการหาประโยชน์เพื่อกำหนดความเสี่ยงที่อาจเกิดขึ้นสำหรับผู้ถือกรมธรรม์ นอกจากนี้ แบบจำลองยังสามารถใช้ในการวิเคราะห์ซอฟต์แวร์ที่กำลังพัฒนาเพื่อค้นหารูปแบบที่อาจบ่งชี้ว่าซอฟต์แวร์นั้นง่ายกว่าหรือยากกว่าในการใช้ประโยชน์ Dumitraș กล่าว