Des chercheurs d'IBM ont récemment mis au point une nouvelle technique pour corriger virtuellement les vulnérabilités de sécurité avant qu'elles ne soient découvertes. Leur approche, présenté à l'Atelier international sur les technologies de l'information et des opérations, co-localisé avec RAID18, exploite les techniques de test pour la génération de données supervisée basée sur l'apprentissage.

« En recherchant une solution pour trouver des failles de sécurité dans les logiciels populaires, nous nous sommes arrêtés pour réfléchir au problème suivant :Nous savons pratiquement et théoriquement qu'il est impossible de trouver toutes les vulnérabilités dans une application, et la communauté de la sécurité est dans une course constante pour découvrir ces vulnérabilités dans l'espoir de les trouver avant les méchants, " Fady Copty, chercheur principal de l'étude, Raconté TechXplore . « Cela signifie appliquer les réglementations et déployer constamment des correctifs de sécurité sur les systèmes. »

Déployer un patch de sécurité sur une application est une tâche fastidieuse et chronophage, ce qui implique une série d'étapes :identifier la version vulnérable de l'application, gérer cette vulnérabilité, livraison du patch, en le déployant puis en redémarrant l'application. Souvent, les correctifs sont déployés sur de longues périodes, par conséquent, les applications peuvent rester vulnérables pendant une période après qu'une vulnérabilité a été découverte. Pour accélérer ce processus, les chercheurs ont récemment introduit des correctifs virtuels, qui sont appliqués à l'aide de systèmes de détection et de prévention des intrusions.

"Le patching virtuel est basé sur une technique semi-manuelle d'analyse des menaces (application-input qui démontre une vulnérabilité), et extraire la signature qui identifie la vulnérabilité, " expliqua Copty. " C'est une technique utile, mais nécessite toujours que la vulnérabilité elle-même soit identifiée, qui est un problème np-complet. Il y a toute une industrie autour de ce cycle de découverte de vulnérabilités et de correctifs. Mais et si nous pouvions créer un correctif virtuel qui prédit ces vulnérabilités avant la découverte de la menace ? En premier, cela ressemblait à une tâche futuriste, mais avec quelques aperçus des techniques de test de sécurité, on peut trouver une très belle direction."

Généralement, les vulnérabilités de sécurité sont révélées en examinant les entrées qui auraient dû auparavant présenter une erreur d'application. En effet, la gestion des erreurs est généralement perçue comme moins importante que le développement des fonctions de base de l'application, elle est donc abordée à un stade ultérieur.

« Si nous pouvons faire du bon travail en créant automatiquement un correctif virtuel qui augmente le travail des développeurs SW sur la gestion des erreurs, nous pouvons accomplir la tâche en amont de la menace, " a déclaré Copty.

Copty et ses collègues ont décidé de résoudre ce problème en utilisant des techniques d'apprentissage automatique. Ils ont exécuté divers outils de test sur une application donnée pour générer des données, ont ensuite utilisé ces données pour entraîner leur modèle DNN.

"Nous avons utilisé des techniques de test qui créent des millions d'exemples d'entrées pour l'application, puis a exécuté l'application avec ces entrées pour déterminer les étiquettes de classification des entrées :bénigne, Erreur, ou malveillant, " expliqua Copty. " Puisque nous cherchions à gérer les erreurs, nous avons fusionné l'erreur et les classes malveillantes en une seule classe. Cela nous a fourni une configuration d'apprentissage supervisé classique, où nous avons formé un modèle pour prédire si un nouvel échantillon est bénin ou malveillant."

Plutôt que d'appliquer des correctifs virtuels en amont de la menace pour une seule application, les chercheurs voulaient créer un système automatique qui pourrait être utilisé pour corriger une variété d'applications. Pour améliorer la généralisabilité de leur modèle, ils se sont abstenus d'utiliser des méthodes d'extraction de caractéristiques manuelles.

"Nous voulions aussi à terme déployer cela dans un système de détection d'intrusion, " expliqua Copty. " Cela signifiait que la prédiction devait être en temps quasi réel. Une excellente solution pour ces exigences peut être trouvée dans les DNN. La prédiction DNN est très rapide et on pense que les DNN ne nécessitent aucune extraction de caractéristiques."

Copty et ses collègues ont formé un modèle DNN sur les données qu'ils avaient précédemment générées. Le modèle qu'ils ont utilisé, qui combine un réseau neuronal convolutif (CNN) et un réseau neuronal récurrent (RNN), obtenu des résultats remarquables dans la prévision des vulnérabilités avant la menace.

« Comment testez-vous la capacité d'appliquer des correctifs avant la découverte des menaces ? La réponse est simple :nous remontons dans le temps, " a déclaré Copty. " Nous avons utilisé d'anciennes versions des applications pour la phase de génération de données, entraîné le modèle à l'aide de ces données, et testé les modèles sur les menaces trouvées des années plus tard et documentées dans la base de données CVE. Cela nous a donné des résultats étonnants dans l'application de correctifs en amont des menaces, où le modèle était capable de prédire les menaces trouvées seulement des années plus tard. Nous savons que cela est encore en phase de recherche et nous n'avons réussi que sur un petit nombre d'applications. Cependant, cette technologie a le potentiel de changer la donne dans le paysage de la sécurité, aider les défenseurs à garder une longueur d'avance sur les attaquants."

Dans les évaluations réalisées par les chercheurs, leur modèle a détecté avec succès les vulnérabilités LibXML2 et LibTIFF avant la menace, avec des précisions de 91,3% et 93,7%, respectivement. Pour améliorer leurs résultats, ils ont étendu leur modèle en ajoutant un chemin qui inclut l'extraction de caractéristiques de base, sur la base des connaissances automatiques extraites lors de la phase de test, suivi d'un CNN.

À l'avenir, leur technique pourrait aider les développeurs à corriger les vulnérabilités logicielles plus rapidement et plus efficacement, avant qu'ils ne soient réellement exposés. Les chercheurs prévoient de continuer à travailler sur leur approche, explorer son efficacité dans la correction d'un plus large éventail de vulnérabilités.

"Merci à Reda Igbaria, nous avons maintenant étendu cette recherche à davantage d'applications et avons récemment démontré l'application de correctifs virtuels en amont de la menace pour la vulnérabilité HeartBleed, " a ajouté Copty. " Nous continuerons à cibler plus d'applications et à améliorer nos techniques de génération de données ainsi que notre structure DNN, et automatiser la recherche de la meilleure structure DNN."

Ce travail a été soutenu par le projet EU H2020 SMESEC.

© 2019 Réseau Science X