परियोजना के पीछे शोधकर्ताओं की टीम के मुताबिक कमजोरियों के शोषण की भविष्यवाणी करने का एक तरीका बनाने के लिए एक सार्वजनिक प्रयास ने एक नई मशीन लर्निंग मॉडल की घोषणा की जो 82% तक अपनी भविष्यवाणी क्षमताओं में सुधार करती है, एक महत्वपूर्ण बढ़ावा। संगठन मॉडल तक पहुंच सकते हैं, जो 7 मार्च को लाइव होगा, किसी भी समय उच्चतम स्कोरिंग सॉफ़्टवेयर दोषों की पहचान करने के लिए एपीआई के माध्यम से।
एक्सप्लॉइट प्रेडिक्शन स्कोरिंग सिस्टम (ईपीएसएस) का तीसरा संस्करण 1,400 से अधिक सुविधाओं का उपयोग करता है - जैसे भेद्यता की उम्र, क्या यह दूरस्थ रूप से शोषण योग्य है, और क्या एक विशिष्ट विक्रेता प्रभावित होता है - सफलतापूर्वक भविष्यवाणी करने के लिए कि कौन से सॉफ़्टवेयर मुद्दों का शोषण किया जाएगा। अगले 30 दिन। स्कोरिंग प्रणाली के आधार पर भेद्यता उपचार को प्राथमिकता देने वाली सुरक्षा टीमें कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) के नवीनतम संस्करण का उपयोग करके अपने सुधारात्मक कार्यभार को प्रयास के आठवें हिस्से तक कम कर सकती हैं। एक पेपर EPSS संस्करण 3 पर पिछले सप्ताह arXiv में प्रकाशित हुआ।
Cyentia Institute के मुख्य डेटा वैज्ञानिक और पेपर पर पहले लेखक जे जैकब्स कहते हैं कि EPSS का उपयोग सुरक्षा टीमों पर वर्कलोड को कम करने के लिए एक उपकरण के रूप में किया जा सकता है, जबकि कंपनियों को उन कमजोरियों को दूर करने में सक्षम बनाता है जो सबसे अधिक जोखिम का प्रतिनिधित्व करती हैं।
"कंपनियां स्कोर की सूची के शीर्ष छोर को देख सकती हैं और अपने तरीके से काम करना शुरू कर सकती हैं - फैक्टरिंग इन ... एसेट महत्व, महत्वपूर्णता, स्थान, क्षतिपूर्ति नियंत्रण - और जो वे कर सकते हैं उसका उपचार करें," वे कहते हैं। "यदि यह वास्तव में उच्च है, तो शायद वे इसे गंभीर रूप से टक्कर देना चाहते हैं - अगले पांच दिनों में इसे ठीक कर दें।"
EPSS को दो समस्याओं का समाधान करने के लिए डिज़ाइन किया गया है जिनका सुरक्षा दल दैनिक आधार पर सामना करते हैं: सॉफ्टवेयर कमजोरियों की बढ़ती संख्या का खुलासा हर साल होता है, और निर्धारण कौन सी भेद्यताएं सबसे अधिक जोखिम का प्रतिनिधित्व करती हैं. उदाहरण के लिए, 2022 में, 25,000 से अधिक भेद्यताओं को एमआईटीआरई द्वारा अनुरक्षित सामान्य कमजोरियों और एक्सपोजर (सीवीई) डेटाबेस में सूचित किया गया था, राष्ट्रीय भेद्यता डेटाबेस के अनुसार.
साइएंटिया में ईपीएसएस पर काम शुरू हुआ, लेकिन अब करीब 170 सुरक्षाकर्मियों का एक समूह बन गया है एक विशेष रुचि समूह (SIG) मॉडल को विकसित करना जारी रखने के लिए फोरम ऑफ इंसीडेंट रिस्पांस एंड सिक्योरिटी टीम्स (FIRST) के हिस्से के रूप में। अन्य अनुसंधान टीमों ने विकल्प विकसित किया है मशीन लर्निंग मॉडल, जैसे अपेक्षित शोषण.
सार्वजनिक-नीति थिंक टैंक और सह-अध्यक्ष, RAND Corporation की एक वरिष्ठ नीति शोधकर्ता साशा रोमानोस्की कहती हैं, किसी विशेष भेद्यता द्वारा दर्शाए गए जोखिम के पिछले उपाय - आम तौर पर, सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS) - अच्छी तरह से काम नहीं करते हैं। ईपीएसएस स्पेशल इंटरेस्ट ग्रुप की।
"जबकि सीवीएसएस एक भेद्यता के प्रभाव [या] गंभीरता को पकड़ने के लिए उपयोगी है, यह खतरे का एक उपयोगी उपाय नहीं है - हमारे पास मूल रूप से एक उद्योग के रूप में उस क्षमता की कमी है, और यह वह अंतर है जिसे ईपीएसएस भरना चाहता है," वे कहते हैं . "अच्छी खबर यह है कि जैसे-जैसे हम अधिक विक्रेताओं से अधिक शोषण डेटा को एकीकृत करते हैं, हमारे स्कोर बेहतर और बेहतर होते जाएंगे।"
अलग-अलग डेटा को जोड़ना
एक्सप्लॉयट प्रेडिक्शन स्कोरिंग सिस्टम तीसरे पक्ष से विभिन्न प्रकार के डेटा को जोड़ता है, जिसमें सॉफ़्टवेयर अनुरक्षकों की जानकारी, शोषण डेटाबेस से कोड और सुरक्षा फर्मों द्वारा सबमिट की गई घटनाओं का शोषण शामिल है। इन सभी घटनाओं को प्रत्येक भेद्यता के लिए एक सामान्य पहचानकर्ता के माध्यम से जोड़कर - CVE - एक मशीन लर्निंग मॉडल उन कारकों को सीख सकता है जो यह संकेत दे सकते हैं कि दोष का शोषण किया जाएगा या नहीं। उदाहरण के लिए, क्या भेद्यता कोड निष्पादन की अनुमति देती है, क्या भेद्यता का फायदा उठाने के निर्देश तीन प्रमुख शोषण डेटाबेसों में से किसी में प्रकाशित किए गए हैं, और सीवीई में कितने संदर्भों का उल्लेख किया गया है, ये सभी कारक हैं जिनका उपयोग भविष्यवाणी करने के लिए किया जा सकता है कि भेद्यता है या नहीं शोषण किया जाएगा।
ईपीएसएस के पीछे का मॉडल समय के साथ और अधिक जटिल हो गया है। पहले पुनरावृत्ति में केवल 16 चर थे और 44% की तुलना में प्रयास को 58% कम कर दिया, अगर कमजोरियों का मूल्यांकन सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) के साथ किया गया और इसे महत्वपूर्ण माना गया (7-बिंदु पैमाने पर 10 या अधिक)। ईपीएसएस संस्करण 2 ने चरों की संख्या को 1,100 से अधिक तक विस्तारित किया। नवीनतम संस्करण में लगभग 300 और जोड़े गए।
रैंड के रोमानोस्की कहते हैं, भविष्यवाणी मॉडल में ट्रेडऑफ़ होते हैं - उदाहरण के लिए, यह कितनी शोषक कमजोरियों को पकड़ता है और झूठी सकारात्मकता की दर के बीच - लेकिन कुल मिलाकर बहुत कुशल है।
"जबकि कोई समाधान पूरी तरह से आपको यह बताने में सक्षम नहीं है कि आगे किस भेद्यता का शोषण किया जाएगा, मुझे लगता है कि ईपीएसएस सही दिशा में एक कदम है," वे कहते हैं।
बड़ा सुधार
कुल मिलाकर, सुविधाओं को जोड़कर और मशीन लर्निंग मॉडल में सुधार करके, शोधकर्ताओं ने स्कोरिंग सिस्टम के प्रदर्शन में 82% तक सुधार किया, जैसा कि कर्व (एयूसी) प्लॉटिंग प्रिसिजन बनाम रिकॉल के तहत क्षेत्र द्वारा मापा जाता है - जिसे कवरेज बनाम दक्षता के रूप में भी जाना जाता है। मॉडल वर्तमान में 0.779 एयूसी के लिए खाता है, जो दूसरे ईपीएसएस संस्करण की तुलना में 82% बेहतर है, जिसमें 0.429 एयूसी था। 1.0 का एयूसी एक सटीक भविष्यवाणी मॉडल होगा।
EPSS के नवीनतम संस्करण का उपयोग करते हुए, एक कंपनी जो शोषित कमजोरियों के 82% से अधिक को पकड़ना चाहती थी, उसे केवल सामान्य कमजोरियों और एक्सपोजर (CVE) पहचानकर्ता को सौंपी गई सभी कमजोरियों के लगभग 7.3% को कम करना होगा, जो कि 58% से बहुत कम है। CVEs जिन्हें CVSS का उपयोग करके सुधारना होगा।
मॉडल पहली साइट पर एक एपीआई के माध्यम से उपलब्ध है, जिससे कंपनियों को किसी विशेष भेद्यता का स्कोर प्राप्त करने या किसी भी समय उच्चतम स्कोरिंग सॉफ़्टवेयर दोषों को पुनः प्राप्त करने की अनुमति मिलती है। फिर भी कंपनियों को अपने उपचारात्मक प्रयासों के लिए सर्वोत्तम प्राथमिकता निर्धारित करने के लिए अधिक जानकारी की आवश्यकता होगी, Cyentia's याकूब कहते हैं।
"डेटा मुफ़्त है, इसलिए आप ईपीएसएस स्कोर प्राप्त कर सकते हैं, और आप उस के दैनिक डंप को पकड़ सकते हैं, लेकिन चुनौती तब होती है जब आप इसे व्यवहार में लाते हैं," वे कहते हैं। "शोषण हर चीज का केवल एक कारक है जिस पर आपको विचार करने की आवश्यकता है, और दूसरी चीजें, हम माप नहीं सकते।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/emerging-tech/machine-learning-improves-prediction-of-exploited-vulnerabilities
- :है
- $यूपी
- 000
- 1
- 100
- 2022
- 7
- a
- योग्य
- About
- पहुँच
- अनुसार
- अकौन्टस(लेखा)
- जोड़ा
- पता
- AL
- सब
- की अनुमति दे
- की अनुमति देता है
- वैकल्पिक
- और
- की घोषणा
- एपीआई
- हैं
- क्षेत्र
- AS
- आस्ति
- सौंपा
- At
- लेखक
- उपलब्ध
- आधारित
- आधार
- BE
- पीछे
- BEST
- बेहतर
- के बीच
- बढ़ावा
- by
- कर सकते हैं
- क्षमताओं
- कैप्चरिंग
- कुश्ती
- चुनौती
- चार्ट
- प्रमुख
- सह-अध्यक्ष
- कोड
- सामान्य
- कंपनियों
- कंपनी
- तुलना
- जटिल
- कनेक्ट कर रहा है
- जोड़ता है
- विचार करना
- माना
- जारी रखने के
- नियंत्रण
- निगम
- सका
- व्याप्ति
- बनाना
- महत्वपूर्ण
- वर्तमान में
- वक्र
- सीवीई
- दैनिक
- तिथि
- आँकड़े वाला वैज्ञानिक
- डाटाबेस
- डेटाबेस
- दिन
- बनाया गया
- निर्धारित करना
- निर्धारित करने
- विकसित करना
- विकसित
- दिशा
- मूर्खता
- नीचे
- से प्रत्येक
- दक्षता
- कुशल
- प्रयास
- प्रयासों
- आठवाँ
- समर्थकारी
- बढ़ाने
- ईथर (ईटीएच)
- मूल्यांकित
- घटनाओं
- प्रत्येक
- सब कुछ
- उदाहरण
- निष्पादन
- विस्तारित
- अपेक्षित
- शोषण करना
- शोषण
- शोषित
- अनावरण
- चेहरा
- कारकों
- विशेषताएं
- भरना
- फर्मों
- प्रथम
- फिक्स
- दोष
- खामियां
- के लिए
- निर्मित
- मंच
- मुक्त
- से
- मूलरूप में
- अन्तर
- मिल
- Go
- अच्छा
- पकड़ लेना
- बहुत
- समूह
- वयस्क
- है
- हाई
- उच्चतर
- उच्चतम
- कैसे
- How To
- HTTPS
- पहचानकर्ता
- पहचान करना
- प्रभाव
- महत्व
- उन्नत
- सुधार
- सुधार
- में सुधार लाने
- in
- घटना
- घटना की प्रतिक्रिया
- सहित
- संकेत मिलता है
- उद्योग
- करें-
- संस्थान
- निर्देश
- एकीकृत
- ब्याज
- मुद्दों
- IT
- यात्रा
- आईटी इस
- जेपीजी
- रखना
- जानने वाला
- पिछली बार
- ताज़ा
- जानें
- सीख रहा हूँ
- पसंद
- लाइन
- सूची
- जीना
- स्थान
- देखिए
- मशीन
- यंत्र अधिगम
- प्रमुख
- बहुत
- अधिकतम-चौड़ाई
- माप
- उपायों
- उल्लेख किया
- कम करना
- आदर्श
- मॉडल
- पल
- अधिक
- अधिकांश
- राष्ट्रीय
- आवश्यकता
- नया
- समाचार
- अगला
- NIST
- संख्या
- of
- on
- ONE
- संगठनों
- अन्य
- कुल
- काग़ज़
- भाग
- विशेष
- पार्टियों
- उत्तम
- प्रदर्शन
- प्रदर्शन
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीति
- अभ्यास
- शुद्धता
- भविष्यवाणी करना
- की भविष्यवाणी
- भविष्यवाणी
- सुंदर
- पिछला
- प्राथमिकता
- प्राथमिकता
- प्राथमिकता
- समस्याओं
- परियोजना
- सार्वजनिक
- प्रकाशित
- रखना
- पंक्ति
- मूल्यांकन करें
- लाल
- को कम करने
- घटी
- संदर्भ
- की सूचना दी
- प्रतिनिधित्व
- प्रतिनिधित्व
- शोधकर्ता
- शोधकर्ताओं
- प्रतिक्रिया
- जोखिम
- s
- कहते हैं
- स्केल
- वैज्ञानिक
- स्कोरिंग
- दूसरा
- सुरक्षा
- प्रयास
- वरिष्ठ
- महत्वपूर्ण
- साइट
- So
- सॉफ्टवेयर
- समाधान
- स्रोत
- विशेष
- विशिष्ट
- प्रारंभ
- शुरू
- कदम
- प्रस्तुत
- सफलतापूर्वक
- ऐसा
- प्रणाली
- टैंक
- टीम
- टीमों
- कि
- RSI
- क्षेत्र
- लेकिन हाल ही
- इन
- चीज़ें
- प्रबुद्ध मंडल
- तीसरा
- तीसरे पक्ष
- धमकी
- तीन
- यहाँ
- पहर
- सेवा मेरे
- साधन
- ऊपर का
- आम तौर पर
- के अंतर्गत
- विविधता
- Ve
- विक्रेता
- विक्रेताओं
- संस्करण
- बनाम
- के माध्यम से
- कमजोरियों
- भेद्यता
- जरूरत है
- मार्ग..
- सप्ताह
- कुंआ
- क्या
- या
- कौन कौन से
- जब
- मर्जी
- साथ में
- काम
- होगा
- जेफिरनेट