作者:作者 Maria Korolov 编译 Charles
来源:《计算机世界》 2019年第18期
把人工智能或者机器学习技术与传统的模糊技术结合起来,就会产生一种能够发现应用程序或者系统中漏洞的强大的工具——这既是研究人员的利器,当然,也可能会成为网络犯罪分子的暗器。 人工智能模糊探测技术的定义
人工智能模糊探测技术利用机器学习和类似的技术来发现应用程序或者系统中的漏洞。模糊探测已经存在一段时间了,但是它太难实现了,而且企业也没有太多的动力去应用这种技术。而人工智能的加入使得工具使用起来更容易,更灵活。
这既是好消息,也是坏消息。好消息是,企业和软件供应商更容易在系统中发现可能会被利用的漏洞,这样,他们能够在坏人发现漏洞之前修复这些漏洞。
坏消息是,坏人也可以使用这项技术,很快就能到大规模的零日漏洞。澳大利亚技术咨询公司RightSizeTechnology 将其列为2019年十大安全威胁之一。 模糊探测技术的工作原理
在传统的模糊技术中,会为一个应用程序生成很多不同的输入,目的是让应用程序宕掉。由于每一应用程序以不同的方式接受输入,因此需要大量的手动设置。但是,还不能只是像暴力攻击那样尝试所有可能的输入,然后查看应用程序怎样响应。IBM 安全X-force Red 的研究主管Daniel Crowley 评论说:“这需要很长的时间。”他说,仅仅在一个10 个字符的输入字段中尝试所有可能的字符组合就需要几个月甚至几年的时间。
虚拟的每一应用程序都比这复杂,所以模糊探测器随机地进行尝试,使用各种策略来尝试最有可能出现的情况。Crowley 介绍说:“人工智能工具可以帮助生成探测用例。但是也可以在模糊探测的事后阶段使用它来确定所发现的漏洞是否有利用价值。你发现的每一个漏洞并非都是安全漏洞。”
他补充说,模糊技术已经存在很长时间了。即使是智能模糊技术也不是什么新鲜事,只是在学术界之外很少用到这一技术。VDA 实验室前NSA 分析师和创始人Jared DeMott 介绍说:“好的商业工具还不是太多。”
DeMott 解释说,模糊技术属于动态分析的范畴,很难融入到开发生命周期中。他说,扫描应用程序源代码的静态分析要简单得多。商业领域有相当多的工具,因此,企业更愿意使用静态分析技术。
人工智能模糊技术工具
DeMott 说, 这一切现在都在改变,有些企业可提供模糊技术即服务,方便了该技术的部署。他解释说:“我对微软的安全风险检测(Microsoft Security RiskDetection)非常感兴趣。其简洁之处在于,他们还在其中加入了一个网络模糊检测器。而过去,这需要不同的工具。”
最好的人工智能模糊工具包括:
● 微软的安全风险检测
● 谷歌的ClusterFuzz
● Synopsys 的防御模糊测试(Defensics FuzzTesting)
● PeachTech 的PeachFuzzer
● Fuzzbuzz
MSRD 使用了一种智能约束算法。DeMott 补充说,智能模糊技术的另一主要选择是遗传算法。这两种方法都可以让模糊工具最有可能到漏洞。
遗传算法被用于美国模糊LOP 开源工具集中, 这是基于云的新产品Fuzzbuzz的关键所在。AFL 也是谷歌ClusterFuzz 项目的组成。
DeMott 说:“我们开始看到模糊探测器作为一种服务出现了。我希望人们会使用它。即使很难,也值得去做。
保证产品安全是值得的。”他补充说,人工智能模糊探测器令人兴奋的是,它不仅减少了所需的工作量,而且能取得更好的效果,能深入到程序中,发现更多的漏洞。
一家提供模糊技术服务的公司是加州Sunnyvale的网络安全初创公司RiskSense, 该公司为企业客户提供风险评估服务。公司首席执行官SrinivasMukkamala 评论说:“我们不把它称为模糊技术即服务,我们将其称为攻击验证即服务。但主要的组成部分是模糊技术即服务。”
目前机器学习的作用是在企业发现一个漏洞之后, 查看该漏洞是否值得利用,以及是否会被利用。他说,模糊探测本身是通过传统的自动化方法和人工监督来完成的。一旦有足够的培训数据,公司也计划在初始阶段开始使用人工智能。Mukkamala 说:“你希望能够有足够的数据、足够的模式,这样机器学习就能发挥作用了。如果没有一个好的数据集,你就会有很多误报,不得不回去验证结果,浪费大量的时间。”
对于建立自己的人工智能模糊探测程序的企业,他建议与供应商合作。Mukkamala 说,与谷歌、微软或者其他供应商合作,就能获得规模经济。他说:“除非你是一家跨国公司,否则就不会有合适的资源。大型云提供商比政府拥有更多的数据。”
他说,一个例外是对于非常关键的系统,比如国防企业的武器系统。他说:“如果我是政府,我可能不会把我的数据放在AWS 上进行模糊探测。如果这是一个武器系统,除非有非常严格的安全要求,否则不会使用谷歌或者微软的人工智能模糊探测器。但如果我是一家普通的企业,我会和这些现有的供应商合作。不妨看看谷歌和微软是怎么做的,他们并不总是第一家这么做的,但他们会大规模的做起来。”
利用人工智能模糊技术发现零日漏洞
今年2 月,微软安全研究员Matt Miller 在公司的BlueHat 大会上做了一次演讲,讨论了零日漏洞问题。他介绍说,2008 年,微软的绝大多数漏洞都是在补丁发布后才被第一次发现的。只有21% 的漏洞首先被利用为零日漏洞。2018 年,这一比例反过来了,83% 的漏洞首先被利用为零日漏洞,通常成为有针对性攻击的一部分。
到目前为止,发现零日漏洞还一直是个难题,新的零日漏洞的成本很高。一家名为Zerodium 的公司现在提供高达200万美元的资金,用于一个具有能够全功能利用的高风险漏洞,并表示对于特别有价值的零日漏洞,价格会更高。Zeronium 公司把这些信息转售给一些“数量非常有限的组织”,这些“主要是政府组织”。
零日漏洞的平均价格较低。该公司称,RunSafePwn 指数表示了操作系统上漏洞平均被利用的价格,包括了市场以及支付服务和私人参与者,目前仅略高于1.5 万美元,并呈上升趋势。
RunSafe 安全公司的创始人兼首席执行官JoeSauders 指出,民族国家和老练的网络犯罪分子很有可能已经在使用人工智能模糊技术。他说:“攻击者总是想少投入多产出。此外,随着物联网设备和联网系统的普及,潜在的攻击面在不断扩大。”
Fortinet 有限公司的全球安全策略师Derek Manky认为,最终,攻击者简单地选择好一个目标,然后自动地挖掘它以进行零日攻击。他说:“我们看到,现在有迹象表明未来可能出现这种情况。”
Malwarebytes 实验室的主管Adam Kujawa 说:“我可以确定,这将是网络犯罪方面的一个重大进展。这可能成为一种服务,这是模糊技术的未来。当你可以让人工智能帮你做事情的时候,手动操作就没什么意义了。”
他说, 这意味着我们会看到有更多的零日漏洞。但他不认为今年会大量涌现人工智能发现的零日漏洞。Kujawa 说:“还为时尚早。技术本身还不成熟。”
Kujawa 补充说:“ 不过,现在开始准备恰逢其时。在我看来,最好是先行一步。所有供应商、开发人员、软件公司都应该对自己的软件进行模糊探测。这是最好的准备方法,以确保没有明显的漏洞。”
人工智能模糊技术的几个真实案例
Positive 技术公司的网络安全弹性负责人Leigh-Anne Galloway 评论说, 尽管宣传得很好,但很少有人
工智能模糊应用的案例。她说:“现在,没有人工智能的模糊探测更有效。”
Positive 技术公司拥有一个大型的安全研究中心,每年能发现大约700 个应用程序安全漏洞。Galloway 介绍说,目前还是以传统的技术为主,例如使用符号执行方法的模糊探测技术。她补充说,“然而,机器学习和其他新技术肯定会给这一领域带来一些新东西。在下一次大型会议上,有人可能会介绍一些将颠覆整个行业的新东西。”
Kudelski 安全公司的首席技术官Andrew Howard说,很难判断犯罪分子是否已经在使用人工智能模糊技术,因为他们通常不会透露他们的方法。他说:“模糊就是模糊;当漏洞暴露后,不太可能讨论模糊探测器背后的算法。”
由于人工智能有可能更快地发现漏洞,发现传统方法无法检测到的漏洞,他预计在这一领域将出现竞争。Howard 说:“ 如果攻击者改进了他们的模糊技术,那么好人也必须这么做。”
Maria Korolov 过去20年一直涉足新兴技术和新兴市场。
原文网址
www.csoonline/article/3375203/whatis-ai-fuzzing-and-whyit-may-be-the-next-bigcybersecurity-threat.html
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议