کون سے حفاظتی کیڑے کا استحصال کیا جائے گا؟ محققین تلاش کرنے کے لیے ایک ایم ایل ماڈل بناتے ہیں۔

دو درجن سے زائد ذرائع سے حاصل کردہ ڈیٹا پر تربیت یافتہ مشین لرننگ کا استعمال کرتے ہوئے، یونیورسٹی کے محققین کی ایک ٹیم نے یہ پیشین گوئی کرنے کے لیے ایک ماڈل بنایا ہے کہ کونسی کمزوریوں کے نتیجے میں ممکنہ طور پر ایک کارآمد استحصال ہو گا، ایک ممکنہ طور پر قابل قدر ٹول جو کمپنیوں کو بہتر طور پر یہ فیصلہ کرنے میں مدد کر سکتا ہے کہ کس سافٹ ویئر کی خامیوں کو ترجیح دینا ہے۔

یہ ماڈل، جسے Expected Exploitability کہا جاتا ہے، 60% کمزوریوں کو پکڑ سکتا ہے جن میں 86% کی درجہ بندی کی اصطلاحات استعمال کرنے کے لیے پیشین گوئی کی درستگی کے ساتھ - یا "پریزیشن" کے ساتھ فعال کارنامے ہوں گے۔ تحقیق کی کلید یہ ہے کہ وقت کے ساتھ ساتھ بعض میٹرکس میں تبدیلیوں کی اجازت دی جائے، کیونکہ خطرے کے انکشاف کے وقت تمام متعلقہ معلومات دستیاب نہیں ہوتی ہیں، اور بعد میں ہونے والے واقعات کے استعمال سے محققین کو پیشین گوئی کی درستگی کو بہتر بنانے کا موقع ملتا ہے۔

استحصال کی پیشن گوئی کو بہتر بنا کر، کمپنیاں کمزوریوں کی تعداد کو کم کر سکتی ہیں جو پیچ کرنے کے لئے اہم سمجھا جاتا ہےکالج پارک میں یونیورسٹی آف میری لینڈ میں الیکٹریکل اور کمپیوٹر انجینئرنگ کے ایک ایسوسی ایٹ پروفیسر اور USENIX سیکورٹی کانفرنس میں گزشتہ ہفتے شائع ہونے والے تحقیقی مقالے کے مصنفین میں سے ایک، Tudor Dumitraș کہتے ہیں، لیکن میٹرک کے دیگر استعمال بھی ہیں۔

"استحصال کی پیشن گوئی صرف ان کمپنیوں سے متعلق نہیں ہے جو پیچنگ کو ترجیح دینا چاہتی ہیں، بلکہ ان انشورنس کمپنیوں کے لیے بھی ہیں جو خطرے کی سطح کا حساب لگانے کی کوشش کر رہی ہیں اور ڈویلپرز کے لیے، کیونکہ یہ شاید اس بات کو سمجھنے کی طرف ایک قدم ہے کہ کس چیز سے کمزوری کا استحصال ہوتا ہے،" وہ کہتے ہیں۔

۔ کالج پارک میں یونیورسٹی آف میری لینڈ اور ایریزونا اسٹیٹ یونیورسٹی کی تحقیق کمپنیوں کو اضافی معلومات دینے کی تازہ ترین کوشش ہے جس پر کمزوریوں کا استحصال کیا جا سکتا ہے، یا ہونے کا امکان ہے۔ 2018 میں، ایریزونا اسٹیٹ یونیورسٹی اور یو ایس سی انفارمیشن سائنس انسٹی ٹیوٹ کے محققین ڈارک ویب کے مباحثوں کو پارس کرنے پر توجہ مرکوز کی۔ ایسے جملے اور خصوصیات تلاش کرنے کے لیے جن کا استعمال اس امکان کا اندازہ لگانے کے لیے کیا جا سکتا ہے کہ کسی خطرے کا استحصال کیا جائے گا، یا کیا گیا ہے۔ 

اور 2019 میں، ڈیٹا ریسرچ فرم سائینٹیا انسٹی ٹیوٹ، RAND کارپوریشن، اور ورجینیا ٹیک کے محققین نے ایک ماڈل پیش کیا جو بہتر پیشین گوئیاں جن کی کمزوریوں سے حملہ آور فائدہ اٹھائیں گے۔.

سائینٹیا انسٹی ٹیوٹ کے چیف ڈیٹا سائنسدان اور شریک بانی جے جیکبز کا کہنا ہے کہ بہت سے نظام تجزیہ کاروں اور محققین کے دستی عمل پر انحصار کرتے ہیں، لیکن متوقع استحصالی میٹرک مکمل طور پر خودکار ہو سکتا ہے۔

"یہ تحقیق مختلف ہے کیونکہ یہ تمام باریک سراگوں کو خود بخود، مستقل طور پر اور تجزیہ کار کے وقت اور رائے پر بھروسہ کیے بغیر حاصل کرنے پر مرکوز ہے،" وہ کہتے ہیں۔ "[T]یہ سب کچھ حقیقی وقت اور پیمانے پر کیا جاتا ہے۔ یہ آسانی سے برقرار رہ سکتا ہے اور کمزوریوں کے سیلاب کے ساتھ ترقی کر سکتا ہے جو روزانہ ظاہر اور شائع ہوتا ہے۔"

انکشاف کے وقت تمام خصوصیات دستیاب نہیں تھیں، اس لیے ماڈل کو وقت کو بھی مدنظر رکھنا تھا اور نام نہاد "لیبل شور" کے چیلنج پر قابو پانا تھا۔ جب مشین لرننگ الگورتھم نمونوں کی درجہ بندی کرنے کے لیے وقت پر ایک جامد نقطہ کا استعمال کرتے ہیں — کہیے، قابل استمعال اور ناقابل استعمال — درجہ بندی الگورتھم کی تاثیر کو کمزور کر سکتی ہے، اگر بعد میں لیبل غلط پایا جاتا ہے۔

PoCs: استحصال کے لیے سیکیورٹی بگز کو پارس کرنا

محققین نے تقریباً 103,000 کمزوریوں کے بارے میں معلومات کا استعمال کیا، اور پھر اس کا موازنہ تین عوامی ذخیروں سے اکٹھے کیے گئے 48,709 ثبوتوں کے تصور (PoCs) کے استحصال سے کیا - ایکسپلوٹ ڈی بی، بگ ٹریک، اور ولنرز - جو 21,849،XNUMX امتیازی صلاحیتوں کے استحصال کی نمائندگی کرتے ہیں۔ محققین نے کلیدی الفاظ اور ٹوکنز - ایک یا زیادہ الفاظ کے فقرے - کے ساتھ ساتھ معروف کارناموں کا ڈیٹا سیٹ بھی بنایا۔

تاہم، PoCs ہمیشہ اس بات کا ایک اچھا اشارہ نہیں ہوتا کہ آیا کمزوری کا فائدہ اٹھایا جا سکتا ہے، محققین نے مقالے میں کہا۔ 

"PoCs کو ٹارگٹ ایپلیکیشن کو کریش یا لٹکا کر خطرے کو متحرک کرنے کے لیے ڈیزائن کیا گیا ہے اور اکثر یہ براہ راست ہتھیار کے قابل نہیں ہوتے ہیں،" محققین نے کہا۔ "[ڈبلیو] میں مشاہدہ کرتا ہوں کہ یہ فنکشنل کارناموں کی پیشن گوئی کے لئے بہت سے غلط مثبتات کی طرف جاتا ہے۔ اس کے برعکس، ہم نے دریافت کیا کہ PoC کی کچھ خصوصیات، جیسے کوڈ کی پیچیدگی، اچھی پیش گوئی کرنے والے ہیں، کیونکہ کمزوری کو متحرک کرنا ہر استحصال کے لیے ایک ضروری قدم ہے، جس سے یہ خصوصیات کارآمد کارناموں کو تخلیق کرنے میں دشواری سے جڑے ہوئے ہیں۔"

Dumitraș نوٹ کرتا ہے کہ یہ پیشین گوئی کرنا کہ آیا کسی خطرے سے فائدہ اٹھایا جائے گا اس سے اضافی دشواری ہوتی ہے، کیونکہ محققین کو حملہ آوروں کے مقاصد کا نمونہ بنانا ہوگا۔

"اگر جنگلی میں کسی خطرے کا استحصال کیا جاتا ہے، تو ہم جانتے ہیں کہ وہاں ایک فعال استحصال ہے، لیکن ہم دوسرے معاملات کو جانتے ہیں جہاں ایک فعال استحصال ہے، لیکن جنگل میں استحصال کی کوئی معروف مثال نہیں ہے،" وہ کہتے ہیں۔ "خطرات جن کا فعال استحصال ہوتا ہے وہ خطرناک ہوتے ہیں اور اس لیے انہیں پیچ کرنے کے لیے ترجیح دی جانی چاہیے۔"

کینا سیکیورٹی کے ذریعہ شائع کردہ تحقیق - جو اب سسکو کی ملکیت ہے - اور سائینٹیا انسٹی ٹیوٹ نے پایا عوامی استحصال کے ضابطے کے وجود میں سات گنا اضافہ ہوا۔ اس امکان میں کہ جنگل میں استحصال کا استعمال کیا جائے گا۔

اس کے باوجود پیچنگ کو ترجیح دینا واحد طریقہ نہیں ہے کہ استحصال کی پیشن گوئی کاروبار کو فائدہ پہنچا سکتی ہے۔ سائبر انشورنس کیریئرز پالیسی ہولڈرز کے لیے ممکنہ خطرے کا تعین کرنے کے لیے استعمال کی پیشن گوئی کا استعمال کر سکتے ہیں۔ اس کے علاوہ، ماڈل کا استعمال سافٹ ویئر کی ترقی میں تجزیہ کرنے کے لیے کیا جا سکتا ہے تاکہ پیٹرن تلاش کیے جا سکیں جو اس بات کی نشاندہی کر سکتے ہیں کہ آیا سافٹ ویئر کا استحصال کرنا آسان ہے، یا مشکل، Dumitraș کا کہنا ہے۔