人工智能模糊探測可能導致重大的網絡安全威脅

Maria Korolov Charles

人工智能模糊探測技術的定義

人工智能模糊探測技術利用機器學習和類似的技術來發現應用程序或者系統中的漏洞。模糊探測已經存在一段時間了，但是它太難實現了，而且企業也沒有太多的動力去應用這種技術。而人工智能的加入使得工具使用起來更容易，更靈活。

這既是好消息，也是壞消息。好消息是，企業和軟件供應商更容易在系統中發現可能會被利用的漏洞，這樣，他們能夠在壞人發現漏洞之前修復這些漏洞。

壞消息是，壞人也可以使用這項技術，很快就能找到大規模的零日漏洞。澳大利亞技術咨詢公司RightSize Technology將其列為2019年十大安全威脅之一。

模糊探測技術的工作原理

在傳統的模糊技術中，會為一個應用程序生成很多不同的輸入，目的是讓應用程序宕掉。由于每一應用程序以不同的方式接受輸入，因此需要大量的手動設置。但是，還不能只是像暴力攻擊那樣嘗試所有可能的輸入，然后查看應用程序怎樣響應。IBM安全X-force Red的研究主管Daniel Crowley評論說：“這需要很長的時間?！彼f，僅僅在一個10個字符的輸入字段中嘗試所有可能的字符組合就需要幾個月甚至幾年的時間。

虛擬的每一應用程序都比這復雜，所以模糊探測器隨機地進行嘗試，使用各種策略來嘗試最有可能出現的情況。Crowley介紹說：“人工智能工具可以幫助生成探測用例。但是也可以在模糊探測的事后階段使用它來確定所發現的漏洞是否有利用價值。你發現的每一個漏洞并非都是安全漏洞?！?/p>

他補充說，模糊技術已經存在很長時間了。即使是智能模糊技術也不是什么新鮮事，只是在學術界之外很少用到這一技術。VDA實驗室前NSA分析師和創始人Jared DeMott介紹說：“好的商業工具還不是太多。”

DeMott解釋說，模糊技術屬于動態分析的范疇，很難融入到開發生命周期中。他說，掃描應用程序源代碼的靜態分析要簡單得多。商業領域有相當多的工具，因此，企業更愿意使用靜態分析技術。

人工智能模糊技術工具

DeMott說，這一切現在都在改變，有些企業可提供模糊技術即服務，方便了該技術的部署。他解釋說：“我對微軟的安全風險檢測（Microsoft Security Risk Detection）非常感興趣。其簡潔之處在于，他們還在其中加入了一個網絡模糊檢測器。而過去，這需要不同的工具?！?/p>

最好的人工智能模糊工具包括：

微軟的安全風險檢測

谷歌的ClusterFuzz

Synopsys的防御模糊測試（Defensics Fuzz Testing）

PeachTech的Peach Fuzzer

Fuzzbuzz

MSRD使用了一種智能約束算法。DeMott補充說，智能模糊技術的另一主要選擇是遺傳算法。這兩種方法都可以讓模糊工具最有可能找到漏洞。

遺傳算法被用于美國模糊LOP開源工具集中，這是基于云的新產品Fuzzbuzz的關鍵所在。AFL也是谷歌ClusterFuzz項目的組成。

DeMott說：“我們開始看到模糊探測器作為一種服務出現了。我希望人們會使用它。即使很難，也值得去做。保證產品安全是值得的。”他補充說，人工智能模糊探測器令人興奮的是，它不僅減少了所需的工作量，而且能取得更好的效果，能深入到程序中，發現更多的漏洞。

一家提供模糊技術服務的公司是加州Sunnyvale的網絡安全初創公司RiskSense，該公司為企業客戶提供風險評估服務。公司首席執行官Srinivas Mukkamala評論說：“我們不把它稱為模糊技術即服務，我們將其稱為攻擊驗證即服務。但主要的組成部分是模糊技術即服務?！?/p>

目前機器學習的作用是在企業發現一個漏洞之后，查看該漏洞是否值得利用，以及是否會被利用。他說，模糊探測本身是通過傳統的自動化方法和人工監督來完成的。一旦有足夠的培訓數據，公司也計劃在初始階段開始使用人工智能。Mukkamala說：“你希望能夠有足夠的數據、足夠的模式，這樣機器學習就能發揮作用了。如果沒有一個好的數據集，你就會有很多誤報，不得不回去驗證結果，浪費大量的時間。”

對于建立自己的人工智能模糊探測程序的企業，他建議與供應商合作。Mukkamala說，與谷歌、微軟或者其他供應商合作，就能獲得規模經濟。他說：“除非你是一家跨國公司，否則就不會有合適的資源。大型云提供商比政府擁有更多的數據?！?/p>

他說，一個例外是對于非常關鍵的系統，比如國防企業的武器系統。他說：“如果我是政府，我可能不會把我的數據放在AWS上進行模糊探測。如果這是一個武器系統，除非有非常嚴格的安全要求，否則不會使用谷歌或者微軟的人工智能模糊探測器。但如果我是一家普通的企業，我會和這些現有的供應商合作。不妨看看谷歌和微軟是怎么做的，他們并不總是第一家這么做的，但他們會大規模的做起來。”

利用人工智能模糊技術發現零日漏洞

今年2月，微軟安全研究員Matt Miller在公司的BlueHat大會上做了一次演講，討論了零日漏洞問題。他介紹說，2008年，微軟的絕大多數漏洞都是在補丁發布后才被第一次發現的。只有21%的漏洞首先被利用為零日漏洞。2018年，這一比例反過來了，83%的漏洞首先被利用為零日漏洞，通常成為有針對性攻擊的一部分。

到目前為止，發現零日漏洞還一直是個難題，新的零日漏洞的成本很高。一家名為Zerodium的公司現在提供高達200萬美元的資金，用于一個具有能夠全功能利用的高風險漏洞，并表示對于特別有價值的零日漏洞，價格會更高。Zeronium公司把這些信息轉售給一些“數量非常有限的組織”，這些“主要是政府組織”。

零日漏洞的平均價格較低。該公司稱，RunSafe Pwn指數表示了操作系統上漏洞平均被利用的價格，包括了暗網市場以及支付服務和私人參與者，目前僅略高于1.5萬美元，并呈上升趨勢。

RunSafe安全公司的創始人兼首席執行官Joe Sauders指出，民族國家和老練的網絡犯罪分子很有可能已經在使用人工智能模糊技術。他說：“攻擊者總是想少投入多產出。此外，隨著物聯網設備和聯網系統的普及，潛在的攻擊面在不斷擴大。”

Fortinet有限公司的全球安全策略師Derek Manky認為，最終，攻擊者簡單地選擇好一個目標，然后自動地挖掘它以進行零日攻擊。他說：“我們看到，現在有跡象表明未來可能出現這種情況。”

Malwarebytes實驗室的主管Adam Kujawa說：“我可以確定，這將是網絡犯罪方面的一個重大進展。這可能成為一種服務，這是模糊技術的未來。當你可以讓人工智能幫你做事情的時候，手動操作就沒什么意義了?！?/p>

他說，這意味著我們會看到有更多的零日漏洞。但他不認為今年會大量涌現人工智能發現的零日漏洞。Kujawa說：“還為時尚早。技術本身還不成熟?！?/p>

Kujawa補充說：“不過，現在開始準備恰逢其時。在我看來，最好是先行一步。所有供應商、開發人員、軟件公司都應該對自己的軟件進行模糊探測。這是最好的準備方法，以確保沒有明顯的漏洞。”

人工智能模糊技術的幾個真實案例

Positive技術公司的網絡安全彈性負責人Leigh-Anne Galloway評論說，盡管宣傳得很好，但很少有人工智能模糊應用的案例。她說：“現在，沒有人工智能的模糊探測更有效?！?/p>

Positive技術公司擁有一個大型的安全研究中心，每年能發現大約700個應用程序安全漏洞。Galloway介紹說，目前還是以傳統的技術為主，例如使用符號執行方法的模糊探測技術。她補充說，“然而，機器學習和其他新技術肯定會給這一領域帶來一些新東西。在下一次大型會議上，有人可能會介紹一些將顛覆整個行業的新東西。”

Kudelski安全公司的首席技術官Andrew Howard說，很難判斷犯罪分子是否已經在使用人工智能模糊技術，因為他們通常不會透露他們的方法。他說：“模糊就是模糊;當漏洞暴露后，不太可能討論模糊探測器背后的算法。”

由于人工智能有可能更快地發現漏洞，發現傳統方法無法檢測到的漏洞，他預計在這一領域將出現競爭。Howard說：“如果攻擊者改進了他們的模糊技術，那么好人也必須這么做?！?/p>

Maria Korolov過去20年一直涉足新興技術和新興市場。

原文網址

https：//www.csoonline.com/article/3375203/what-is-ai-fuzzing-and-why-it-may-be-the-next-big-cybersecurity-threat.html