Üniversite araştırmacılarından oluşan bir ekip, iki düzineden fazla kaynaktan gelen veriler üzerinde eğitilmiş makine öğrenimini kullanarak, hangi güvenlik açıklarının işlevsel bir istismarla sonuçlanacağını tahmin etmek için bir model oluşturdu; bu, şirketlerin hangi yazılım kusurlarına öncelik vereceğine daha iyi karar vermelerine yardımcı olabilecek potansiyel olarak değerli bir araç.
Beklenen Yararlanma olarak adlandırılan model, %86’lık bir tahmin doğruluğu veya sınıflandırma terminolojisini kullanmak için “kesinlik” ile işlevsel istismarlara sahip olacak güvenlik açıklarının %60’ını yakalayabilir. Araştırmanın anahtarı, belirli ölçütlerde zaman içinde değişikliklere izin vermektir, çünkü bir güvenlik açığı açıklandığı anda ilgili tüm bilgiler mevcut değildir ve daha sonraki olayları kullanmak, araştırmacıların tahminin doğruluğunu bilemesine izin verdi.
University of Maryland at College Park’ta elektrik ve bilgisayar mühendisliği doçenti olan Tudor Dumitraş, sömürünün öngörülebilirliğini geliştirerek, şirketler yama için kritik olarak kabul edilen güvenlik açıklarının sayısını azaltabilir, ancak metriğin başka kullanımları da vardır, diyor. ve USENIX Güvenlik Konferansı’nda geçen hafta yayınlanan araştırma makalesinin yazarlarından biri.
“Kullanılabilirlik tahmini, yalnızca yamalamaya öncelik vermek isteyen şirketler için değil, aynı zamanda risk seviyelerini hesaplamaya çalışan sigorta şirketleri ve geliştiriciler için de geçerlidir, çünkü bu, bir güvenlik açığını neyin sömürülebilir hale getirdiğini anlama yolunda belki de bir adımdır” diyor.
bu College Park’taki Maryland Üniversitesi ve Arizona Eyalet Üniversitesi araştırması şirketlere hangi güvenlik açıklarından yararlanılabileceği veya yararlanılabileceği konusunda ek bilgi sağlamaya yönelik en son girişimdir. 2018’de Arizona Eyalet Üniversitesi ve USC Bilgi Bilimleri Enstitüsü’nden araştırmacılar Dark Web tartışmalarını ayrıştırmaya odaklandı bir güvenlik açığından yararlanma veya yararlanma olasılığını tahmin etmek için kullanılabilecek ifadeleri ve özellikleri bulmak.
Ve 2019’da, veri araştırma firması Cyentia Institute, RAND Corp. ve Virginia Tech’den araştırmacılar bir model sundular. saldırganlar tarafından hangi güvenlik açıklarından yararlanılacağına dair iyileştirilmiş tahminler.
Cyentia Enstitüsü’nün baş veri bilimcisi ve kurucu ortağı Jay Jacobs, sistemlerin birçoğunun analistler ve araştırmacılar tarafından manuel süreçlere dayandığını, ancak Beklenen Yararlanma metriğinin tamamen otomatikleştirilebileceğini söylüyor.
“Bu araştırma farklıdır, çünkü bir analistin zamanına ve fikirlerine güvenmeden, tüm ince ipuçlarını otomatik olarak, tutarlı bir şekilde toplamaya odaklanmaktadır” diyor. “[T]onun hepsi gerçek zamanlı ve ölçekte yapılır. Her gün ifşa edilen ve yayınlanan güvenlik açıkları seline kolayca ayak uydurabilir ve gelişebilir.”
Açıklama sırasında tüm özellikler mevcut değildi, bu nedenle modelin zamanı da hesaba katması ve “etiket gürültüsü” olarak adlandırılan zorluğun üstesinden gelmesi gerekiyordu. Makine öğrenimi algoritmaları, kalıpları sınıflandırmak için zaman içinde statik bir nokta kullandığında – örneğin, sömürülebilir ve sömürülebilir olmayan – sınıflandırma, etiketin daha sonra yanlış olduğu tespit edilirse, algoritmanın etkinliğini baltalayabilir.
PoC’ler: Sömürülebilirlik için Güvenlik Hatalarını Ayrıştırma
Araştırmacılar, yaklaşık 103.000 güvenlik açığı hakkında bilgi kullandılar ve ardından bunu, farklı güvenlik açıklarının 21.849’unun açıklarını temsil eden üç kamu deposundan (ExploitDB, BugTraq ve Vulners) toplanan 48.709 kavram kanıtı (PoC) istismarıyla karşılaştırdılar. Araştırmacılar ayrıca, anahtar kelimeler ve belirteçler (bir veya daha fazla kelimeden oluşan ifadeler) için sosyal medya tartışmalarını çıkardılar ve bilinen istismarlardan oluşan bir veri seti oluşturdular.
Ancak araştırmacılar, makalede PoC’lerin her zaman bir güvenlik açığından yararlanılabilir olup olmadığının iyi bir göstergesi olmadığını söyledi.
Araştırmacılar, “PoC’ler, hedef uygulamayı kilitleyerek veya asarak güvenlik açığını tetiklemek için tasarlanmıştır ve genellikle doğrudan silaha dönüştürülemez” dedi. “[W]Bunun, işlevsel istismarları tahmin etmek için birçok yanlış pozitife yol açtığını gözlemleyin. Buna karşılık, kod karmaşıklığı gibi belirli PoC özelliklerinin iyi tahmin ediciler olduğunu keşfediyoruz, çünkü bir güvenlik açığını tetiklemek her istismar için gerekli bir adımdır ve bu özellikleri nedensel olarak işlevsel istismarlar yaratmanın zorluğuyla bağlantılı hale getirir.”
Dumitraș, araştırmacıların saldırganların güdülerine ilişkin bir model oluşturmaları gerekeceğinden, bir güvenlik açığından yararlanılıp yararlanılmayacağını tahmin etmenin ek zorluklar eklediğini belirtiyor.
“Vahşi doğada bir güvenlik açığından yararlanılırsa, orada işlevsel bir istismar olduğunu biliyoruz, ancak işlevsel bir istismarın olduğu diğer durumları biliyoruz, ancak vahşi doğada bilinen bir istismar örneği yok” diyor. “İşlevsel bir istismara sahip güvenlik açıkları tehlikelidir ve bu nedenle yama için öncelik verilmelidir.”
Şu anda Cisco’ya ait olan Kenna Security ve Cyentia Enstitüsü tarafından yayınlanan araştırma, halka açık açıklardan yararlanma kodunun varlığının, bir açıktan yararlanmanın doğada kullanılma olasılığının yedi kat artmasına neden olduğunu buldu.
Yine de, istismar tahmininin işletmelere fayda sağlamasının tek yolu yamaya öncelik vermek değildir. Siber sigorta şirketleri, poliçe sahipleri için potansiyel riski belirlemenin bir yolu olarak istismar tahminini kullanabilir. Buna ek olarak, model, yazılımın kullanılmasının daha kolay mı yoksa daha zor mu olduğunu gösteren kalıpları bulmak için geliştirme aşamasındaki yazılımı analiz etmek için kullanılabilir, diyor Dumitraş.