Sử dụng công nghệ máy học được đào tạo dựa trên dữ liệu từ hơn hai chục nguồn, một nhóm các nhà nghiên cứu đại học đã tạo ra một mô hình để dự đoán lỗ hổng nào có khả năng dẫn đến việc khai thác chức năng, một công cụ có giá trị tiềm năng có thể giúp các công ty quyết định tốt hơn lỗi phần mềm nào cần ưu tiên.
Mô hình, được gọi là Khả năng khai thác mong đợi, có thể bắt 60% lỗ hổng sẽ có chức năng khai thác, với độ chính xác dự đoán - hoặc "độ chính xác", sử dụng thuật ngữ phân loại - là 86%. Mấu chốt của nghiên cứu là cho phép thay đổi các số liệu nhất định theo thời gian, bởi vì không phải tất cả thông tin liên quan đều có sẵn tại thời điểm lỗ hổng được tiết lộ và việc sử dụng các sự kiện sau này cho phép các nhà nghiên cứu trau dồi độ chính xác của dự đoán.
Bằng cách cải thiện khả năng khai thác dự đoán, các công ty có thể giảm số lượng lỗ hổng bảo mật được coi là quan trọng để vá lỗi, nhưng số liệu này cũng có những cách sử dụng khác, Tudor Dumitraș, phó giáo sư kỹ thuật điện và máy tính tại Đại học Maryland tại College Park, và một trong những tác giả của bài báo nghiên cứu được công bố vào tuần trước tại Hội nghị Bảo mật USENIX cho biết.
Ông nói: “Dự đoán khả năng khai thác không chỉ phù hợp với các công ty muốn ưu tiên vá, mà còn với các công ty bảo hiểm đang cố gắng tính toán mức độ rủi ro và các nhà phát triển, bởi vì đây có thể là một bước để hiểu điều gì làm cho một lỗ hổng có thể khai thác được.
Sản phẩm Nghiên cứu của Đại học Maryland tại College Park và Đại học Bang Arizona là nỗ lực mới nhất để cung cấp cho các công ty thông tin bổ sung về những lỗ hổng có thể bị hoặc có khả năng bị khai thác. Năm 2018, các nhà nghiên cứu từ Đại học Bang Arizona và Viện Khoa học Thông tin USC tập trung vào phân tích cú pháp các cuộc thảo luận trên Web đen để tìm các cụm từ và đặc điểm có thể được sử dụng để dự đoán khả năng một lỗ hổng bảo mật sẽ hoặc đã bị khai thác.
Và vào năm 2019, các nhà nghiên cứu từ công ty nghiên cứu dữ liệu Cyentia Institute, RAND Corp. và Virginia Tech đã trình bày một mô hình cải thiện dự đoán về lỗ hổng nào sẽ bị kẻ tấn công khai thác.
Jay Jacobs, nhà khoa học dữ liệu trưởng và đồng sáng lập tại Viện Cyentia, cho biết nhiều hệ thống dựa vào quy trình thủ công của các nhà phân tích và nhà nghiên cứu, nhưng chỉ số Khả năng khai thác mong đợi có thể hoàn toàn tự động.
Ông nói: “Nghiên cứu này khác biệt vì nó tập trung vào việc thu thập tất cả các manh mối tinh vi một cách tự động, nhất quán và không phụ thuộc vào thời gian và ý kiến của một nhà phân tích. “[T] của anh ấy đều được thực hiện trong thời gian thực và trên quy mô lớn. Nó có thể dễ dàng theo kịp và phát triển với hàng loạt lỗ hổng được tiết lộ và công bố hàng ngày. "
Không phải tất cả các tính năng đều có sẵn tại thời điểm tiết lộ, vì vậy mô hình cũng phải tính đến thời gian và vượt qua thách thức của cái gọi là “nhiễu nhãn”. Khi các thuật toán học máy sử dụng một điểm tĩnh trong thời gian để phân loại các mẫu - ví dụ, có thể khai thác và không thể khai thác - thì việc phân loại có thể làm giảm hiệu quả của thuật toán, nếu sau đó nhãn được phát hiện là không chính xác.
PoC: Phân tích cú pháp các lỗi bảo mật để có khả năng khai thác
Các nhà nghiên cứu đã sử dụng thông tin về gần 103,000 lỗ hổng và sau đó so sánh thông tin đó với 48,709 lần khai thác bằng chứng khái niệm (PoC) được thu thập từ ba kho lưu trữ công khai - ExploitDB, BugTraq và Vulners - đại diện cho việc khai thác 21,849 lỗ hổng riêng biệt. Các nhà nghiên cứu cũng khai thác các cuộc thảo luận trên mạng xã hội cho các từ khóa và mã thông báo - cụm từ của một hoặc nhiều từ - cũng như tạo ra một bộ dữ liệu về các khai thác đã biết.
Tuy nhiên, các PoC không phải lúc nào cũng là một chỉ báo tốt về việc liệu một lỗ hổng có thể bị khai thác hay không, các nhà nghiên cứu cho biết trong bài báo.
Các nhà nghiên cứu cho biết: “PoC được thiết kế để kích hoạt lỗ hổng bảo mật bằng cách làm hỏng hoặc treo ứng dụng mục tiêu và thường không thể sử dụng trực tiếp được”. “[W] e quan sát thấy rằng điều này dẫn đến nhiều kết quả dương tính sai cho việc dự đoán các khai thác chức năng. Ngược lại, chúng tôi phát hiện ra rằng một số đặc điểm PoC nhất định, chẳng hạn như độ phức tạp của mã, là những yếu tố dự đoán tốt, bởi vì việc kích hoạt lỗ hổng bảo mật là bước cần thiết cho mọi hoạt động khai thác, làm cho những đặc điểm này có mối liên hệ nhân quả với khó khăn trong việc tạo ra các khai thác chức năng. ”
Dumitraș lưu ý rằng việc dự đoán liệu một lỗ hổng có bị khai thác hay không sẽ gây thêm khó khăn vì các nhà nghiên cứu sẽ phải tạo ra một mô hình về động cơ của những kẻ tấn công.
“Nếu một lỗ hổng được khai thác trong tự nhiên, thì chúng tôi biết có một khai thác chức năng ở đó, nhưng chúng tôi biết các trường hợp khác có khai thác chức năng, nhưng không có trường hợp khai thác nào được biết đến trong tự nhiên,” ông nói. “Các lỗ hổng có chức năng khai thác rất nguy hiểm và vì vậy chúng cần được ưu tiên vá”.
Nghiên cứu được xuất bản bởi Kenna Security - hiện thuộc sở hữu của Cisco - và Viện Cyentia cho thấy rằng sự tồn tại của mã khai thác công khai đã dẫn đến sự gia tăng gấp bảy lần có khả năng là một khai thác sẽ được sử dụng trong tự nhiên.
Tuy nhiên, ưu tiên vá lỗi không phải là cách duy nhất mà dự đoán khai thác có thể mang lại lợi ích cho các doanh nghiệp. Các hãng bảo hiểm mạng có thể sử dụng dự đoán khai thác như một cách để xác định rủi ro tiềm ẩn cho các chủ hợp đồng. Ngoài ra, mô hình có thể được sử dụng để phân tích phần mềm đang phát triển để tìm ra các mẫu có thể cho biết liệu phần mềm đó dễ khai thác hơn hay khó hơn, Dumitraș nói.
