Київ, 3 жовтня 2022 р.

Дослідники з Університету Меріленду та Університету штату Арізона розробили модель, що передбачає, які вразливості ймовірно можуть призвести до появи експлойтів. Для цього команда використала алгоритм машинного навчання, згодувавши йому дані з понад двох десятків джерел, повідомляє сайт Dark Reading.

Модель, що отримала назву Expected Exploitability, знаходить понад 60% потенційно небезпечних вразливостей з точністю передбачення на рівні 86%. Ключем до успіху стала можливість з часом змінювати певні параметри, оскільки не вся релевантна інформація є доступною на момент виявлення вразливості. Команда мусила подолати проблему, відому як «шум маркування». Коли алгоритм машинного навчання використовує статичну точку для класифікації патерну — власне, надається вразливість до експлуатації чи ні, — ця класифікація може зменшити ефективність алгоритму, якщо пізніше виявиться невірною. Дослідники змогли підвищити точність прогнозування завдяки здатності використовувати інформацію про подальші події.

Спроби визначити ознаки, які роблять вразливість небезпечною, були і раніше. У 2018 році інша команда збирала на форумах у Dark Web фрази і деталі, які могли б допомогти це передбачити. У 2019 році дослідницька фірма Cyentia Institute представила власну модель прогнозування експлойтів. Проте модель Expected Exploitability відрізняється тим, що є повністю автоматизованою і не покладається на думки аналітиків.

Дослідники використали інформацію про більш ніж 103 тис. вразливостей і порівняли їх з 48709 «теоретичних» експлойтів (proofs-of-concept — PoC), що стосувалися 21849 відомих вразливостей і були зібрані у трьох публічних репозиторіях. Також дослідники просіювали соцмережі в пошуках ключових слів і фраз. Проте, як вони наголошують, PoC не завжди є гарним індикатором того, що вразливість можна експлуатувати, а це виливається у велику кількість хибнопозитивних класифікацій. З іншого боку, деякі характеристики, такі як складність коду, є гарними індикаторами.

Передбачити, чи буде вразливість експлуатуватися, є додатковою проблемою, сказав професор Тудор Думітрас з Університету Меріленду, адже дослідники мусять створити модель поведінки злочинців. «Якщо вразливість експлуатується в дикій природі, ми знаємо, що існує фінкціональний експлойт, проте нам відомі протилежні випадки, коли експлойт існує, а відомих випадків експлуатації нема, — зазначив він. — Вразливості, що мають функціональний експлойт, небезпечні, і тому їх слід закривати в першу чергу». Раніше дослідники з фірми Kenna Security (нині частина Cisco) і Cyentia Institute встановили, що існування публічно доступного коду експлойта усемеро збільшує вірогідність того, що цей експлойт буде кимось використано.

Окрім визначення пріоритетності розробки патчів, модель допоможе страховим компаніям обраховувати ризики, а розробники ПО зможуть аналізувати код на етапі його створення і знаходити індикатори того, чи складно це ПО зламати.

Інші новини 2022 >>>