人工智能模糊探測可能導(dǎo)致重大的網(wǎng)絡(luò)安全威脅

Maria Korolov Charles

人工智能模糊探測技術(shù)的定義

人工智能模糊探測技術(shù)利用機(jī)器學(xué)習(xí)和類似的技術(shù)來發(fā)現(xiàn)應(yīng)用程序或者系統(tǒng)中的漏洞。模糊探測已經(jīng)存在一段時(shí)間了，但是它太難實(shí)現(xiàn)了，而且企業(yè)也沒有太多的動(dòng)力去應(yīng)用這種技術(shù)。而人工智能的加入使得工具使用起來更容易，更靈活。

這既是好消息，也是壞消息。好消息是，企業(yè)和軟件供應(yīng)商更容易在系統(tǒng)中發(fā)現(xiàn)可能會被利用的漏洞，這樣，他們能夠在壞人發(fā)現(xiàn)漏洞之前修復(fù)這些漏洞。

壞消息是，壞人也可以使用這項(xiàng)技術(shù)，很快就能找到大規(guī)模的零日漏洞。澳大利亞技術(shù)咨詢公司RightSize Technology將其列為2019年十大安全威脅之一。

模糊探測技術(shù)的工作原理

在傳統(tǒng)的模糊技術(shù)中，會為一個(gè)應(yīng)用程序生成很多不同的輸入，目的是讓應(yīng)用程序宕掉。由于每一應(yīng)用程序以不同的方式接受輸入，因此需要大量的手動(dòng)設(shè)置。但是，還不能只是像暴力攻擊那樣嘗試所有可能的輸入，然后查看應(yīng)用程序怎樣響應(yīng)。IBM安全X-force Red的研究主管Daniel Crowley評論說：“這需要很長的時(shí)間。”他說，僅僅在一個(gè)10個(gè)字符的輸入字段中嘗試所有可能的字符組合就需要幾個(gè)月甚至幾年的時(shí)間。

虛擬的每一應(yīng)用程序都比這復(fù)雜，所以模糊探測器隨機(jī)地進(jìn)行嘗試，使用各種策略來嘗試最有可能出現(xiàn)的情況。Crowley介紹說：“人工智能工具可以幫助生成探測用例。但是也可以在模糊探測的事后階段使用它來確定所發(fā)現(xiàn)的漏洞是否有利用價(jià)值。你發(fā)現(xiàn)的每一個(gè)漏洞并非都是安全漏洞。”

他補(bǔ)充說，模糊技術(shù)已經(jīng)存在很長時(shí)間了。即使是智能模糊技術(shù)也不是什么新鮮事，只是在學(xué)術(shù)界之外很少用到這一技術(shù)。VDA實(shí)驗(yàn)室前NSA分析師和創(chuàng)始人Jared DeMott介紹說：“好的商業(yè)工具還不是太多。”

DeMott解釋說，模糊技術(shù)屬于動(dòng)態(tài)分析的范疇，很難融入到開發(fā)生命周期中。他說，掃描應(yīng)用程序源代碼的靜態(tài)分析要簡單得多。商業(yè)領(lǐng)域有相當(dāng)多的工具，因此，企業(yè)更愿意使用靜態(tài)分析技術(shù)。

人工智能模糊技術(shù)工具

DeMott說，這一切現(xiàn)在都在改變，有些企業(yè)可提供模糊技術(shù)即服務(wù)，方便了該技術(shù)的部署。他解釋說：“我對微軟的安全風(fēng)險(xiǎn)檢測（Microsoft Security Risk Detection）非常感興趣。其簡潔之處在于，他們還在其中加入了一個(gè)網(wǎng)絡(luò)模糊檢測器。而過去，這需要不同的工具。”

最好的人工智能模糊工具包括：

微軟的安全風(fēng)險(xiǎn)檢測

谷歌的ClusterFuzz

Synopsys的防御模糊測試（Defensics Fuzz Testing）

PeachTech的Peach Fuzzer

Fuzzbuzz

MSRD使用了一種智能約束算法。DeMott補(bǔ)充說，智能模糊技術(shù)的另一主要選擇是遺傳算法。這兩種方法都可以讓模糊工具最有可能找到漏洞。

遺傳算法被用于美國模糊LOP開源工具集中，這是基于云的新產(chǎn)品Fuzzbuzz的關(guān)鍵所在。AFL也是谷歌ClusterFuzz項(xiàng)目的組成。

DeMott說：“我們開始看到模糊探測器作為一種服務(wù)出現(xiàn)了。我希望人們會使用它。即使很難，也值得去做。保證產(chǎn)品安全是值得的。”他補(bǔ)充說，人工智能模糊探測器令人興奮的是，它不僅減少了所需的工作量，而且能取得更好的效果，能深入到程序中，發(fā)現(xiàn)更多的漏洞。

一家提供模糊技術(shù)服務(wù)的公司是加州Sunnyvale的網(wǎng)絡(luò)安全初創(chuàng)公司RiskSense，該公司為企業(yè)客戶提供風(fēng)險(xiǎn)評估服務(wù)。公司首席執(zhí)行官Srinivas Mukkamala評論說：“我們不把它稱為模糊技術(shù)即服務(wù)，我們將其稱為攻擊驗(yàn)證即服務(wù)。但主要的組成部分是模糊技術(shù)即服務(wù)。”

目前機(jī)器學(xué)習(xí)的作用是在企業(yè)發(fā)現(xiàn)一個(gè)漏洞之后，查看該漏洞是否值得利用，以及是否會被利用。他說，模糊探測本身是通過傳統(tǒng)的自動(dòng)化方法和人工監(jiān)督來完成的。一旦有足夠的培訓(xùn)數(shù)據(jù)，公司也計(jì)劃在初始階段開始使用人工智能。Mukkamala說：“你希望能夠有足夠的數(shù)據(jù)、足夠的模式，這樣機(jī)器學(xué)習(xí)就能發(fā)揮作用了。如果沒有一個(gè)好的數(shù)據(jù)集，你就會有很多誤報(bào)，不得不回去驗(yàn)證結(jié)果，浪費(fèi)大量的時(shí)間。”

對于建立自己的人工智能模糊探測程序的企業(yè)，他建議與供應(yīng)商合作。Mukkamala說，與谷歌、微軟或者其他供應(yīng)商合作，就能獲得規(guī)模經(jīng)濟(jì)。他說：“除非你是一家跨國公司，否則就不會有合適的資源。大型云提供商比政府擁有更多的數(shù)據(jù)。”

他說，一個(gè)例外是對于非常關(guān)鍵的系統(tǒng)，比如國防企業(yè)的武器系統(tǒng)。他說：“如果我是政府，我可能不會把我的數(shù)據(jù)放在AWS上進(jìn)行模糊探測。如果這是一個(gè)武器系統(tǒng)，除非有非常嚴(yán)格的安全要求，否則不會使用谷歌或者微軟的人工智能模糊探測器。但如果我是一家普通的企業(yè)，我會和這些現(xiàn)有的供應(yīng)商合作。不妨看看谷歌和微軟是怎么做的，他們并不總是第一家這么做的，但他們會大規(guī)模的做起來。”

利用人工智能模糊技術(shù)發(fā)現(xiàn)零日漏洞

今年2月，微軟安全研究員Matt Miller在公司的BlueHat大會上做了一次演講，討論了零日漏洞問題。他介紹說，2008年，微軟的絕大多數(shù)漏洞都是在補(bǔ)丁發(fā)布后才被第一次發(fā)現(xiàn)的。只有21%的漏洞首先被利用為零日漏洞。2018年，這一比例反過來了，83%的漏洞首先被利用為零日漏洞，通常成為有針對性攻擊的一部分。

到目前為止，發(fā)現(xiàn)零日漏洞還一直是個(gè)難題，新的零日漏洞的成本很高。一家名為Zerodium的公司現(xiàn)在提供高達(dá)200萬美元的資金，用于一個(gè)具有能夠全功能利用的高風(fēng)險(xiǎn)漏洞，并表示對于特別有價(jià)值的零日漏洞，價(jià)格會更高。Zeronium公司把這些信息轉(zhuǎn)售給一些“數(shù)量非常有限的組織”，這些“主要是政府組織”。

零日漏洞的平均價(jià)格較低。該公司稱，RunSafe Pwn指數(shù)表示了操作系統(tǒng)上漏洞平均被利用的價(jià)格，包括了暗網(wǎng)市場以及支付服務(wù)和私人參與者，目前僅略高于1.5萬美元，并呈上升趨勢。

RunSafe安全公司的創(chuàng)始人兼首席執(zhí)行官Joe Sauders指出，民族國家和老練的網(wǎng)絡(luò)犯罪分子很有可能已經(jīng)在使用人工智能模糊技術(shù)。他說：“攻擊者總是想少投入多產(chǎn)出。此外，隨著物聯(lián)網(wǎng)設(shè)備和聯(lián)網(wǎng)系統(tǒng)的普及，潛在的攻擊面在不斷擴(kuò)大。”

Fortinet有限公司的全球安全策略師Derek Manky認(rèn)為，最終，攻擊者簡單地選擇好一個(gè)目標(biāo)，然后自動(dòng)地挖掘它以進(jìn)行零日攻擊。他說：“我們看到，現(xiàn)在有跡象表明未來可能出現(xiàn)這種情況。”

Malwarebytes實(shí)驗(yàn)室的主管Adam Kujawa說：“我可以確定，這將是網(wǎng)絡(luò)犯罪方面的一個(gè)重大進(jìn)展。這可能成為一種服務(wù)，這是模糊技術(shù)的未來。當(dāng)你可以讓人工智能幫你做事情的時(shí)候，手動(dòng)操作就沒什么意義了。”

他說，這意味著我們會看到有更多的零日漏洞。但他不認(rèn)為今年會大量涌現(xiàn)人工智能發(fā)現(xiàn)的零日漏洞。Kujawa說：“還為時(shí)尚早。技術(shù)本身還不成熟。”

Kujawa補(bǔ)充說：“不過，現(xiàn)在開始準(zhǔn)備恰逢其時(shí)。在我看來，最好是先行一步。所有供應(yīng)商、開發(fā)人員、軟件公司都應(yīng)該對自己的軟件進(jìn)行模糊探測。這是最好的準(zhǔn)備方法，以確保沒有明顯的漏洞。”

人工智能模糊技術(shù)的幾個(gè)真實(shí)案例

Positive技術(shù)公司的網(wǎng)絡(luò)安全彈性負(fù)責(zé)人Leigh-Anne Galloway評論說，盡管宣傳得很好，但很少有人工智能模糊應(yīng)用的案例。她說：“現(xiàn)在，沒有人工智能的模糊探測更有效。”

Positive技術(shù)公司擁有一個(gè)大型的安全研究中心，每年能發(fā)現(xiàn)大約700個(gè)應(yīng)用程序安全漏洞。Galloway介紹說，目前還是以傳統(tǒng)的技術(shù)為主，例如使用符號執(zhí)行方法的模糊探測技術(shù)。她補(bǔ)充說，“然而，機(jī)器學(xué)習(xí)和其他新技術(shù)肯定會給這一領(lǐng)域帶來一些新東西。在下一次大型會議上，有人可能會介紹一些將顛覆整個(gè)行業(yè)的新東西。”

Kudelski安全公司的首席技術(shù)官Andrew Howard說，很難判斷犯罪分子是否已經(jīng)在使用人工智能模糊技術(shù)，因?yàn)樗麄兺ǔ２粫嘎端麄兊姆椒āＫf：“模糊就是模糊;當(dāng)漏洞暴露后，不太可能討論模糊探測器背后的算法。”

由于人工智能有可能更快地發(fā)現(xiàn)漏洞，發(fā)現(xiàn)傳統(tǒng)方法無法檢測到的漏洞，他預(yù)計(jì)在這一領(lǐng)域?qū)⒊霈F(xiàn)競爭。Howard說：“如果攻擊者改進(jìn)了他們的模糊技術(shù)，那么好人也必須這么做。”

Maria Korolov過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址

https：//www.csoonline.com/article/3375203/what-is-ai-fuzzing-and-why-it-may-be-the-next-big-cybersecurity-threat.html