Üniversite araştırmacılarından oluşan bir ekip, iki düzineden fazla kaynaktan gelen veriler üzerinde eğitilmiş makine öğrenimini kullanarak, hangi güvenlik açıklarının işlevsel bir istismarla sonuçlanacağını tahmin etmek için bir model oluşturdu; bu, şirketlerin hangi yazılım kusurlarına öncelik vereceğine daha iyi karar vermelerine yardımcı olabilecek potansiyel olarak değerli bir araç.
Beklenen Yararlanma olarak adlandırılan model, %60'lık bir tahmin doğruluğu veya sınıflandırma terminolojisini kullanmak için "kesinlik" ile işlevsel istismarlara sahip olacak güvenlik açıklarının %86'ını yakalayabilir. Araştırmanın anahtarı, belirli ölçütlerde zaman içinde değişikliklere izin vermektir, çünkü bir güvenlik açığı açıklandığı anda ilgili tüm bilgiler mevcut değildir ve daha sonraki olayları kullanmak, araştırmacıların tahminin doğruluğunu bilemesine izin verdi.
Şirketler, istismarın öngörülebilirliğini geliştirerek, ortaya çıkan güvenlik açıklarının sayısını azaltabilir. yama için kritik kabul edildi, ancak metriğin başka kullanımları da var, diyor Maryland Üniversitesi, College Park'ta elektrik ve bilgisayar mühendisliği doçenti olan Tudor Dumitraş ve geçen hafta USENIX Güvenlik Konferansı'nda yayınlanan araştırma makalesinin yazarlarından biri.
“Kullanılabilirlik tahmini, yalnızca yamalamaya öncelik vermek isteyen şirketler için değil, aynı zamanda risk seviyelerini hesaplamaya çalışan sigorta şirketleri ve geliştiriciler için de geçerlidir, çünkü bu, bir güvenlik açığını neyin sömürülebilir hale getirdiğini anlamak için belki de bir adımdır” diyor.
The College Park'taki Maryland Üniversitesi ve Arizona Eyalet Üniversitesi araştırması şirketlere hangi güvenlik açıklarından yararlanılabileceği veya yararlanılabileceği konusunda ek bilgi sağlamaya yönelik en son girişimdir. 2018'de Arizona Eyalet Üniversitesi ve USC Bilgi Bilimleri Enstitüsü'nden araştırmacılar Dark Web tartışmalarını ayrıştırmaya odaklandı bir güvenlik açığından yararlanma veya yararlanma olasılığını tahmin etmek için kullanılabilecek ifadeleri ve özellikleri bulmak.
Ve 2019'da, veri araştırma firması Cyentia Institute, RAND Corp. ve Virginia Tech'den araştırmacılar bir model sundular. saldırganlar tarafından hangi güvenlik açıklarından yararlanılacağına dair iyileştirilmiş tahminler.
Cyentia Enstitüsü'nün baş veri bilimcisi ve kurucu ortağı Jay Jacobs, sistemlerin birçoğunun analistler ve araştırmacılar tarafından manuel süreçlere dayandığını, ancak Beklenen Yararlanma metriğinin tamamen otomatikleştirilebileceğini söylüyor.
"Bu araştırma farklı çünkü tüm ince ipuçlarını otomatik olarak, tutarlı bir şekilde ve bir analistin zamanına ve fikirlerine güvenmeden toplamaya odaklanıyor" diyor. "[T] onun hepsi gerçek zamanlı ve ölçekte yapılır. Her gün ifşa edilen ve yayınlanan güvenlik açıkları seline kolayca ayak uydurabilir ve gelişebilir.”
Açıklama sırasında tüm özellikler mevcut değildi, bu nedenle modelin zamanı da hesaba katması ve “etiket gürültüsü” olarak adlandırılan zorluğun üstesinden gelmesi gerekiyordu. Makine öğrenimi algoritmaları, kalıpları sınıflandırmak için zaman içinde statik bir nokta kullandığında - örneğin, sömürülebilir ve sömürülebilir olmayan - sınıflandırma, etiketin daha sonra yanlış olduğu tespit edilirse, algoritmanın etkinliğini baltalayabilir.
PoC'ler: Sömürülebilirlik için Güvenlik Hatalarını Ayrıştırma
Araştırmacılar, yaklaşık 103,000 güvenlik açığı hakkında bilgi kullandılar ve ardından bunu, farklı güvenlik açıklarının 48,709'unun açıklarını temsil eden üç kamu deposundan (ExploitDB, BugTraq ve Vulners) toplanan 21,849 kavram kanıtı (PoC) istismarıyla karşılaştırdılar. Araştırmacılar ayrıca, anahtar kelimeler ve belirteçler (bir veya daha fazla kelimeden oluşan ifadeler) için sosyal medya tartışmalarını çıkardılar ve bilinen istismarlardan oluşan bir veri seti oluşturdular.
Ancak araştırmacılar, makalede PoC'lerin her zaman bir güvenlik açığından yararlanılabilir olup olmadığının iyi bir göstergesi olmadığını söyledi.
Araştırmacılar, "PoC'ler, hedef uygulamayı kilitleyerek veya asarak güvenlik açığını tetiklemek için tasarlanmıştır ve genellikle doğrudan silaha dönüştürülemez" dedi. “[W] e, bunun işlevsel istismarları tahmin etmek için birçok yanlış pozitife yol açtığını gözlemliyoruz. Buna karşılık, kod karmaşıklığı gibi belirli PoC özelliklerinin iyi tahmin ediciler olduğunu keşfediyoruz, çünkü bir güvenlik açığını tetiklemek her istismar için gerekli bir adımdır ve bu özellikleri nedensel olarak işlevsel istismarlar yaratmanın zorluğuyla bağlantılı hale getirir.”
Dumitraș, araştırmacıların saldırganların güdülerine ilişkin bir model oluşturmaları gerekeceğinden, bir güvenlik açığından yararlanılıp yararlanılmayacağını tahmin etmenin ek zorluklar eklediğini belirtiyor.
“Vahşi doğada bir güvenlik açığından yararlanılırsa, orada işlevsel bir istismar olduğunu biliyoruz, ancak işlevsel bir istismarın olduğu diğer durumları biliyoruz, ancak vahşi doğada bilinen bir istismar örneği yok” diyor. “İşlevsel bir istismara sahip güvenlik açıkları tehlikelidir ve bu nedenle yama için öncelik verilmelidir.”
Şimdi Cisco'ya ait olan Kenna Security ve Cyentia Enstitüsü tarafından yayınlanan araştırma, şunları buldu: kamu istismar kodunun varlığı yedi kat artışa neden oldu bir istismarın vahşi doğada kullanılması olasılığı.
Yine de, istismar tahmininin işletmelere fayda sağlamasının tek yolu yamaya öncelik vermek değildir. Siber sigorta şirketleri, poliçe sahipleri için potansiyel riski belirlemenin bir yolu olarak istismar tahminini kullanabilir. Buna ek olarak, model, yazılımın kullanılmasının daha kolay mı yoksa daha zor mu olduğunu gösteren kalıpları bulmak için geliştirme aşamasındaki yazılımı analiz etmek için kullanılabilir, diyor Dumitraş.
