压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

人工智能(AI)或機器學(xué)習(xí)融入傳統(tǒng)模糊測試技術(shù)造就出查找應(yīng)用程序或系統(tǒng)漏洞的強大工具，但研究人員和網(wǎng)絡(luò)罪犯都能利用這一點。

定義AI模糊測試

AI模糊測試采用機器學(xué)習(xí)及類似技術(shù)查找應(yīng)用或系統(tǒng)中的漏洞。模糊測試概念的提出已經(jīng)有些年頭了，但其執(zhí)行相當(dāng)困難，對公司企業(yè)沒有太大吸引力。引入AI技術(shù)可使模糊測試更加靈活，更易于執(zhí)行。

這是個好消息，但同時也是個壞消息。好消息是企業(yè)和軟件供應(yīng)商可以更容易地找出系統(tǒng)中的潛在可利用漏洞，以便搶在壞人之前修復(fù)。

壞消息是，壞人也可以利用該技術(shù)快速找出很多零日漏洞。澳大利亞技術(shù)咨詢機構(gòu) Rightsize Technology 將AI模糊測試列為2019十大安全威脅之一。

模糊測試運作機制

傳統(tǒng)模糊測試用大量不同輸入嘗試令應(yīng)用程序崩潰的切入點。因為不同應(yīng)用輸入方式相異，產(chǎn)生并嘗試大量輸入需要很多人工設(shè)置。而且，僅靠暴力破解的方式嘗試每個可能輸入并觀察應(yīng)用程序的響應(yīng)是行不通的——光耗時都能讓人絕望。10個字符的輸入域要試完全部可能組合需要幾個月甚至幾年。

虛擬出每個應(yīng)用比嘗試可能輸入組合更復(fù)雜，所以模糊測試器基本都是隨機嘗試，并運用各種策略去試最具前景的那些輸入組合。AI工具有助于生成測試用例，且模糊測試的事后分析階段也可以用AI工具來確定造成崩潰的條件是否可利用。不是每個漏洞都是安全漏洞。

模糊測試技術(shù)已經(jīng)出現(xiàn)好些年了。甚至智能模糊測試也不是什么新的東西，只不過是沒在學(xué)術(shù)界以外廣泛應(yīng)用而已。優(yōu)秀的商業(yè)工具并不多。

模糊測試屬于動態(tài)分析，很難整合進開發(fā)生命周期中。相比之下，掃描應(yīng)用程序源代碼的靜態(tài)分析就容易整合得多了。而且，商業(yè)領(lǐng)域有大量靜態(tài)工具可用。所以企業(yè)傾向于選擇靜態(tài)分析不足為奇。

AI模糊測試工具

不過，隨著公司企業(yè)將模糊測試作為服務(wù)推出，該技術(shù)的部署難度大幅下降，情況開始發(fā)生改變。微軟的 Security Risk Detection 很是令人興奮，他們將Web模糊測試器也集成了進去。而在過去，你得購買和維護幾個不同工具。

頂級AI模糊測試工具有：

• 微軟 Security Risk Detection (MSRD)：(https://www.microsoft.com/en-us/security-risk-detection/)
• 谷歌 ClusterFuzz：(https://security.googleblog.com/2019/02/open-sourcing-clusterfuzz.html)
• Synopsys Defensics Fuzz Testing ：(https://www.synopsys.com/software-integrity/security-testing/fuzz-testing.html)
• PeachTech Peach Fuzzer：(https://www.peach.tech/products/peach-fuzzer/)
• Fuzzbuzz：(https://fuzzbuzz.io/)

MSRD采用智能約束算法。另一種主流智能模糊測試選項是遺傳算法。兩種算法都能使模糊測試工具鎖定最具前景的路徑來找到漏洞。

開源工具集 American Fuzzy Lop (AFL)使用遺傳算法。該工具集是基于云的新工具Fuzzbuzz的核心，也是谷歌ClusterFuzz項目的一部分。

模糊測試器即服務(wù)正在逐步推出。如果可以的話，最好能采用這種技術(shù)。即便剛開始可能有些難上手，堅持用下去絕對能值回票價，因為它能保證產(chǎn)品安全。AI模糊測試器最令人激動的一點，是不僅能夠減少所需工作量，還能得到更好的結(jié)果，更深入應(yīng)用程序底層，找出更多漏洞。

位于加州桑尼維爾的安全初創(chuàng)公司RiskSense就提供模糊測試服務(wù)，這家公司的主要業(yè)務(wù)為企業(yè)客戶進行風(fēng)險評估。盡管該公司將此服務(wù)自稱為“攻擊驗證即服務(wù)”，其實質(zhì)就是“模糊測試即服務(wù)”。

機器學(xué)習(xí)進場的時機是在該公司發(fā)現(xiàn)漏洞之后，用于確認漏洞是否值得利用，以及是否會被利用。模糊測試本身采用傳統(tǒng)自動化方法加人工監(jiān)督的方式進行。該公司確實計劃在初始階段就開始使用AI——只要具備了足夠的訓(xùn)練數(shù)據(jù)。足夠的數(shù)據(jù)才能產(chǎn)生足夠的模式，運用機器學(xué)習(xí)才有意義。如果沒有良好的數(shù)據(jù)集，得到的只會是一堆誤報，你將不得不回頭驗證結(jié)果，然后浪費大量時間。

已設(shè)立自身AI模糊測試項目的公司企業(yè)最好再找家供應(yīng)商合作。有谷歌、微軟或其他公司作為提供商，你會獲得規(guī)模經(jīng)濟效應(yīng)。因為除非是跨國大型企業(yè)，否則很難擁有合適的資源。大型云提供商的數(shù)據(jù)比政府都多。

唯一的例外是真正關(guān)鍵的系統(tǒng)，比如防務(wù)公司的武器系統(tǒng)。任何政府都不會將數(shù)據(jù)放到AWS上做模糊測試。如果是武器系統(tǒng)，除非有非常嚴(yán)格的安全要求，否則絕不會用谷歌或微軟的AI模糊測試器。但如果是普通公司，大型供應(yīng)商還是很靠譜的，他們可能不是最先做這個的，但肯定是能做出一定規(guī)模的。

用AI模糊測試查找零日漏洞

2月，微軟安全研究員 Matt Miller 在該公司藍帽大會上做了關(guān)于零日漏洞問題的演講。他表示，2008年，絕大部分微軟漏洞都是在補丁發(fā)布后才被利用的，僅21%是作為零日漏洞被利用。2018年，這一比例逆轉(zhuǎn)了，83%的漏洞遭零日利用，其中大部分漏洞利用是針對性攻擊的一環(huán)。

到目前為止，發(fā)現(xiàn)零日漏洞依然不是件容易的事，新零日漏洞的價格居高不下。Zerodium公司如今為帶有效漏洞利用的高風(fēng)險漏洞開出單個200萬美元的高價，并宣稱如果是特別有價值的零日漏洞，價碼還可以更高。Zerodium收購零日漏洞后再轉(zhuǎn)賣給少數(shù)幾個機構(gòu)，主要是政府機構(gòu)。

零日漏洞的平均價格自然沒那么高。統(tǒng)計各操作系統(tǒng)、暗網(wǎng)市場、付費服務(wù)和個體從業(yè)者漏洞利用平均價格的 RunSafe Pwn Index 得出結(jié)論：當(dāng)前漏洞利用平均價格略高于1.5萬美元，并呈現(xiàn)不斷增長的趨勢。

民族國家和高端網(wǎng)絡(luò)罪犯可能已經(jīng)在用AI模糊測試了。攻擊者總想省時省力地獲取最佳收益。而且，隨著IoT設(shè)備和聯(lián)網(wǎng)系統(tǒng)的普遍增殖，潛在攻擊界面也在持續(xù)擴大。

最終，攻擊者將能簡單地指定一個目標(biāo)就可以自動挖掘該目標(biāo)的零日漏洞利用了。

AI模糊測試無疑將成為網(wǎng)絡(luò)犯罪的巨大推力。AI模糊測試應(yīng)會以服務(wù)的形式呈現(xiàn)，這是模糊測試的趨勢。能用AI進行模糊測試的時候，人工來測就不再有意義了。

這意味著我們將見證更多零日漏洞，但今年內(nèi)應(yīng)該還不會出現(xiàn)太多AI發(fā)現(xiàn)的漏洞利用。現(xiàn)在還早了點兒，這項技術(shù)本身還相當(dāng)年輕。

但應(yīng)開始為此做好準(zhǔn)備了，宜早不宜晚。任何供應(yīng)商、開發(fā)人員、軟件公司都應(yīng)對自己的產(chǎn)品進行模糊測試。這是確保不留明顯漏洞的最佳方式。

AI模糊測試實例尚少

盡管引發(fā)熱議，在用AI模糊測試的實例卻幾乎沒有。目前，沒引入AI的模糊測試更有效些。

Positive Technologies擁有大型安全研究中心，每年發(fā)現(xiàn)大約700個應(yīng)用安全漏洞。傳統(tǒng)技術(shù)依然統(tǒng)治模糊測試領(lǐng)域，比如使用符號執(zhí)行的模糊測試。不過，機器學(xué)習(xí)和其他新技術(shù)也為該領(lǐng)域吹入了一股新風(fēng)。下一次大型安全會議上估計就會有人描述能顛覆行業(yè)的新東西了。

很難將網(wǎng)絡(luò)罪犯是否已經(jīng)在用AI模糊測試，因為他們通常不會談?wù)撟约旱氖址āＤ：郎y試就是模糊測試，模糊測試器背后的算法一般不會在漏洞被暴露時成為人們的話題中心。

由于AI提供了快速找出漏洞的可能性，能夠找出傳統(tǒng)方法沒檢測出的漏洞，AI模糊測試領(lǐng)域可能會出現(xiàn)一場軍備競賽。如果攻擊者提升其模糊測試技術(shù)，安全人員就必須跟進。