Maria Korolov Charles

人工智能模糊探測技術(shù)的定義

人工智能模糊探測技術(shù)利用機(jī)器學(xué)習(xí)和類似的技術(shù)來發(fā)現(xiàn)應(yīng)用程序或者系統(tǒng)中的漏洞。模糊探測已經(jīng)存在一段時間了，但是它太難實現(xiàn)了，而且企業(yè)也沒有太多的動力去應(yīng)用這種技術(shù)。而人工智能的加入使得工具使用起來更容易，更靈活。

這既是好消息，也是壞消息。好消息是，企業(yè)和軟件供應(yīng)商更容易在系統(tǒng)中發(fā)現(xiàn)可能會被利用的漏洞，這樣，他們能夠在壞人發(fā)現(xiàn)漏洞之前修復(fù)這些漏洞。

壞消息是，壞人也可以使用這項技術(shù)，很快就能找到大規(guī)模的零日漏洞。澳大利亞技術(shù)咨詢公司RightSize Technology將其列為2019年十大安全威脅之一。

模糊探測技術(shù)的工作原理

在傳統(tǒng)的模糊技術(shù)中，會為一個應(yīng)用程序生成很多不同的輸入，目的是讓應(yīng)用程序宕掉。由于每一應(yīng)用程序以不同的方式接受輸入，因此需要大量的手動設(shè)置。但是，還不能只是像暴力攻擊那樣嘗試所有可能的輸入，然后查看應(yīng)用程序怎樣響應(yīng)。IBM安全X-force Red的研究主管Daniel Crowley評論說：“這需要很長的時間?！彼f，僅僅在一個10個字符的輸入字段中嘗試所有可能的字符組合就需要幾個月甚至幾年的時間。

虛擬的每一應(yīng)用程序都比這復(fù)雜，所以模糊探測器隨機(jī)地進(jìn)行嘗試，使用各種策略來嘗試最有可能出現(xiàn)的情況。Crowley介紹說：“人工智能工具可以幫助生成探測用例。但是也可以在模糊探測的事后階段使用它來確定所發(fā)現(xiàn)的漏洞是否有利用價值。你發(fā)現(xiàn)的每一個漏洞并非都是安全漏洞。”

他補(bǔ)充說，模糊技術(shù)已經(jīng)存在很長時間了。即使是智能模糊技術(shù)也不是什么新鮮事，只是在學(xué)術(shù)界之外很少用到這一技術(shù)。VDA實驗室前NSA分析師和創(chuàng)始人Jared DeMott介紹說：“好的商業(yè)工具還不是太多?！?/p>

DeMott解釋說，模糊技術(shù)屬于動態(tài)分析的范疇，很難融入到開發(fā)生命周期中。他說，掃描應(yīng)用程序源代碼的靜態(tài)分析要簡單得多。商業(yè)領(lǐng)域有相當(dāng)多的工具，因此，企業(yè)更愿意使用靜態(tài)分析技術(shù)。

人工智能模糊技術(shù)工具

DeMott說，這一切現(xiàn)在都在改變，有些企業(yè)可提供模糊技術(shù)即服務(wù)，方便了該技術(shù)的部署。他解釋說：“我對微軟的安全風(fēng)險檢測（Microsoft Security Risk Detection）非常感興趣。其簡潔之處在于，他們還在其中加入了一個網(wǎng)絡(luò)模糊檢測器。而過去，這需要不同的工具?！?/p>

最好的人工智能模糊工具包括：

微軟的安全風(fēng)險檢測

谷歌的ClusterFuzz

Synopsys的防御模糊測試（Defensics Fuzz Testing）

PeachTech的Peach Fuzzer

Fuzzbuzz

MSRD使用了一種智能約束算法。DeMott補(bǔ)充說，智能模糊技術(shù)的另一主要選擇是遺傳算法。這兩種方法都可以讓模糊工具最有可能找到漏洞。

遺傳算法被用于美國模糊LOP開源工具集中，這是基于云的新產(chǎn)品Fuzzbuzz的關(guān)鍵所在。AFL也是谷歌ClusterFuzz項目的組成。

DeMott說：“我們開始看到模糊探測器作為一種服務(wù)出現(xiàn)了。我希望人們會使用它。即使很難，也值得去做。保證產(chǎn)品安全是值得的。”他補(bǔ)充說，人工智能模糊探測器令人興奮的是，它不僅減少了所需的工作量，而且能取得更好的效果，能深入到程序中，發(fā)現(xiàn)更多的漏洞。

一家提供模糊技術(shù)服務(wù)的公司是加州Sunnyvale的網(wǎng)絡(luò)安全初創(chuàng)公司RiskSense，該公司為企業(yè)客戶提供風(fēng)險評估服務(wù)。公司首席執(zhí)行官Srinivas Mukkamala評論說：“我們不把它稱為模糊技術(shù)即服務(wù)，我們將其稱為攻擊驗證即服務(wù)。但主要的組成部分是模糊技術(shù)即服務(wù)。”

目前機(jī)器學(xué)習(xí)的作用是在企業(yè)發(fā)現(xiàn)一個漏洞之后，查看該漏洞是否值得利用，以及是否會被利用。他說，模糊探測本身是通過傳統(tǒng)的自動化方法和人工監(jiān)督來完成的。一旦有足夠的培訓(xùn)數(shù)據(jù)，公司也計劃在初始階段開始使用人工智能。Mukkamala說：“你希望能夠有足夠的數(shù)據(jù)、足夠的模式，這樣機(jī)器學(xué)習(xí)就能發(fā)揮作用了。如果沒有一個好的數(shù)據(jù)集，你就會有很多誤報，不得不回去驗證結(jié)果，浪費大量的時間?！?/p>

對于建立自己的人工智能模糊探測程序的企業(yè)，他建議與供應(yīng)商合作。Mukkamala說，與谷歌、微軟或者其他供應(yīng)商合作，就能獲得規(guī)模經(jīng)濟(jì)。他說：“除非你是一家跨國公司，否則就不會有合適的資源。大型云提供商比政府擁有更多的數(shù)據(jù)?！?/p>

他說，一個例外是對于非常關(guān)鍵的系統(tǒng)，比如國防企業(yè)的武器系統(tǒng)。他說：“如果我是政府，我可能不會把我的數(shù)據(jù)放在AWS上進(jìn)行模糊探測。如果這是一個武器系統(tǒng)，除非有非常嚴(yán)格的安全要求，否則不會使用谷歌或者微軟的人工智能模糊探測器。但如果我是一家普通的企業(yè)，我會和這些現(xiàn)有的供應(yīng)商合作。不妨看看谷歌和微軟是怎么做的，他們并不總是第一家這么做的，但他們會大規(guī)模的做起來?！?/p>

利用人工智能模糊技術(shù)發(fā)現(xiàn)零日漏洞

今年2月，微軟安全研究員Matt Miller在公司的BlueHat大會上做了一次演講，討論了零日漏洞問題。他介紹說，2008年，微軟的絕大多數(shù)漏洞都是在補(bǔ)丁發(fā)布后才被第一次發(fā)現(xiàn)的。只有21%的漏洞首先被利用為零日漏洞。2018年，這一比例反過來了，83%的漏洞首先被利用為零日漏洞，通常成為有針對性攻擊的一部分。

到目前為止，發(fā)現(xiàn)零日漏洞還一直是個難題，新的零日漏洞的成本很高。一家名為Zerodium的公司現(xiàn)在提供高達(dá)200萬美元的資金，用于一個具有能夠全功能利用的高風(fēng)險漏洞，并表示對于特別有價值的零日漏洞，價格會更高。Zeronium公司把這些信息轉(zhuǎn)售給一些“數(shù)量非常有限的組織”，這些“主要是政府組織”。

零日漏洞的平均價格較低。該公司稱，RunSafe Pwn指數(shù)表示了操作系統(tǒng)上漏洞平均被利用的價格，包括了暗網(wǎng)市場以及支付服務(wù)和私人參與者，目前僅略高于1.5萬美元，并呈上升趨勢。

RunSafe安全公司的創(chuàng)始人兼首席執(zhí)行官Joe Sauders指出，民族國家和老練的網(wǎng)絡(luò)犯罪分子很有可能已經(jīng)在使用人工智能模糊技術(shù)。他說：“攻擊者總是想少投入多產(chǎn)出。此外，隨著物聯(lián)網(wǎng)設(shè)備和聯(lián)網(wǎng)系統(tǒng)的普及，潛在的攻擊面在不斷擴(kuò)大?！?/p>

Fortinet有限公司的全球安全策略師Derek Manky認(rèn)為，最終，攻擊者簡單地選擇好一個目標(biāo)，然后自動地挖掘它以進(jìn)行零日攻擊。他說：“我們看到，現(xiàn)在有跡象表明未來可能出現(xiàn)這種情況?！?/p>

Malwarebytes實驗室的主管Adam Kujawa說：“我可以確定，這將是網(wǎng)絡(luò)犯罪方面的一個重大進(jìn)展。這可能成為一種服務(wù)，這是模糊技術(shù)的未來。當(dāng)你可以讓人工智能幫你做事情的時候，手動操作就沒什么意義了。”

他說，這意味著我們會看到有更多的零日漏洞。但他不認(rèn)為今年會大量涌現(xiàn)人工智能發(fā)現(xiàn)的零日漏洞。Kujawa說：“還為時尚早。技術(shù)本身還不成熟?！?/p>

Kujawa補(bǔ)充說：“不過，現(xiàn)在開始準(zhǔn)備恰逢其時。在我看來，最好是先行一步。所有供應(yīng)商、開發(fā)人員、軟件公司都應(yīng)該對自己的軟件進(jìn)行模糊探測。這是最好的準(zhǔn)備方法，以確保沒有明顯的漏洞?！?/p>

人工智能模糊技術(shù)的幾個真實案例

Positive技術(shù)公司的網(wǎng)絡(luò)安全彈性負(fù)責(zé)人Leigh-Anne Galloway評論說，盡管宣傳得很好，但很少有人工智能模糊應(yīng)用的案例。她說：“現(xiàn)在，沒有人工智能的模糊探測更有效?！?/p>

Positive技術(shù)公司擁有一個大型的安全研究中心，每年能發(fā)現(xiàn)大約700個應(yīng)用程序安全漏洞。Galloway介紹說，目前還是以傳統(tǒng)的技術(shù)為主，例如使用符號執(zhí)行方法的模糊探測技術(shù)。她補(bǔ)充說，“然而，機(jī)器學(xué)習(xí)和其他新技術(shù)肯定會給這一領(lǐng)域帶來一些新東西。在下一次大型會議上，有人可能會介紹一些將顛覆整個行業(yè)的新東西。”

Kudelski安全公司的首席技術(shù)官Andrew Howard說，很難判斷犯罪分子是否已經(jīng)在使用人工智能模糊技術(shù)，因為他們通常不會透露他們的方法。他說：“模糊就是模糊;當(dāng)漏洞暴露后，不太可能討論模糊探測器背后的算法。”

由于人工智能有可能更快地發(fā)現(xiàn)漏洞，發(fā)現(xiàn)傳統(tǒng)方法無法檢測到的漏洞，他預(yù)計在這一領(lǐng)域?qū)⒊霈F(xiàn)競爭。Howard說：“如果攻擊者改進(jìn)了他們的模糊技術(shù)，那么好人也必須這么做。”

Maria Korolov過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址

https：//www.csoonline.com/article/3375203/what-is-ai-fuzzing-and-why-it-may-be-the-next-big-cybersecurity-threat.html