0
最近阿里工程師很火。
除了穿特步被相親對象diss的小伙,更有朋友圈刷屏的阿里安全資深專家杭特,吐槽安全圈八大怪象。
“我覺得不止八大,應該有十八大怪象。”說這話的是梆梆安全副總裁付杰,其中讓他印象最為深刻的怪象即以攻代防,“在安全行業,談破解遠比談滲透的多。”
▲付杰
媒體:今日XXX公司發現了某車高危漏洞,利用這一漏洞可以乾坤大挪移想開哪輛車開哪輛。
吃瓜群眾:蛤?好可怕,怎么辦怎么辦?
安全公司:(微笑臉)請及時更新/請注意編碼的問題/請靜待廠家修復……
吃瓜群眾:……
在付杰看來,安全的本質是一攻一防,但防守問題在今天整個信息安全行業中一直處于停滯階段。
為何是停滯的?
“低垂的果實”已被摘完
在被譽為“下一個弗里德曼”的美國經濟學家泰勒·考恩出版的名為《大停滯》的書中,他用“低垂之果”解釋近半個世紀以來技術進步的趨緩:人類上一輪技術大爆發,實際上得益于最近四百年內科學上的“范式革命”。如今我們已經將這場“范式革命”相對易得的技術果實基本摘完了,想讓技術繼續維持高速增長,人類要么需要投入更多成本,爬得更高些去采摘更多果實,要么找一棵新樹——讓科學再次爆發“范式革命”。
類比安全行業,付杰把信息行業迅速發展、政策紅利、頻發的安全事件、愈發廉價的資源比作“低垂的果實”,過去幾年安全行業依賴這些唾手可得的“果實”發展,但這些果子被摘光了怎么辦?
一些需要解決的問題沒有取得大的進展,比如司空見慣的薅羊毛、搶票事件一直未能有效制止。甚至還衍生出了一種畸形思維:“依賴白帽黑客通過眾測方式尋找漏洞來取代安全防護,這很奇怪。”
找棵新樹有點難,要不尋求點“外掛”幫助?比如人工智能、大數據等。
知乎上有個帖子這樣形容人工智能,“人工智能是一種技術,但如果其不能找到一種業務場景落地,基本上只能裝13。”
把人工智能或大數據當做外掛付之以安全行業,在付杰看來是可行的。盡管目前業內對此多處于半探索狀態,離實現真正商用尚需時日,但也在某些嘗試中實現了單點突破。
人工智能到底能為安全解決什么?先要退一步看看人工智能能做到什么。
付杰談了幾個方面。
首先是用機器學習來進行知識關聯分析,以及無標簽的網絡流量分析。
傳統分析網絡的做法是人工的為每個字段劃分標簽,這一段是IT,這一段是譯碼,這一段是金額,有時還需要進行二次編碼,之后再進行審計,這一系列的復雜工作都要依靠人力。
要知道,目前在網絡安全行業維護一個龐大的協議庫工作量巨大,特別在工業物聯網領域工作成本更高。但如果用機器學習、監督學習對網絡流量做無標簽分析,則可以節省許多人力成本。當然這在今天已經可以實現。
另外人工智能還可應用于病毒檢測,以及源代碼符號化處理等方面。
付杰笑稱在這方面他既是參與者也是受害者更是受益者。大概七八年前,他在使用某款專業工具掃描自己的源代碼時報出7000多個所謂的問題。
“當時我就懵逼了,因為總共我的源代碼才5000多個,這要去改嗎?”事實上這7000多個問題可能有6900個是誤報。
為何?
這還要從這類工具的原理說起。
這類工具基本依靠的還是特征識別技術,簡單理解就是先把眾多有問題的源代碼擺在那里,然后對你要掃描的源代碼進行匹配,盡管不同掃描工具匹配規則可高可低,處理語言的種類可多可少,但最終能發現的多不是漏洞,而是不規范的代碼問題。
所有的源代碼最后都會被轉化成什么?一段標準的符號機器碼。如果可以用深度學習、機器學習來處理源代碼,將源代碼做一個整體進行分析發現其存在的漏洞,遠比通過匹配發現的漏洞準確得多。
“好歹程序是標準的,人的語言是不標準的。”
上面幾項是將人工智能與安全結合可以走得通的路,那再往下可以做些什么?
“回到最開始的問題,如果要構建一套比較安全的業務系統,拋開人的能力問題來講,我們應該會怎么做?”
開發過程中的源代碼漏洞挖掘、測試過程中的程序漏洞及業務邏輯漏洞挖掘、運行過程中的漏洞攻擊及業務漏洞利用、運行過程中的欺詐行為識別,曾幾何時,這些工作僅能由專業人員完成。
“去給客戶審十萬個源代碼里面的漏洞,經常需要花費大量人力物力,審的昏天暗地。”付杰笑道。
所以梆梆安全計劃在明年推出一套新系統,叫下一代應用安全。
為什么叫下一代應用安全?因為梆梆安全不但做了下一代、還做了上一代應用安全。
時間回溯過去的三到五年,梆梆安全的上一代應用安全主要聚焦于移動應用保護技術,基于加密、加殼、混淆、虛擬化等技術手段,阻止惡意攻擊者發現移動應用內部的缺陷、漏洞,保護移動應用免遭惡意破解、篡改、二次打包各類攻擊。
“也就是過去五年,我們用了各種技術防止別人發現應用內部的安全隱患。但是今天更好的手法是什么?是找出問題,把它徹底解決。”
現在梆梆安全希望構建的下一代安全體系是從靜態分析,到動態分析,再到實時防護的完整體系。其與上一代本質的區別就是,無論是靜態安全性測試還是動態安全性測試,使用大量的深度學習技術來知道所有的業務流量特征,以此用這種方法構建出所有的可能攻擊狀況,進而測試應用是否安全。此處可以想做上帝視角,下一代安全體系就是“天黑不閉眼”的預言家了。最后,通過對用戶的業務學習,來構建業務的實時防御規則。
“整個目標指向的是在靜態和動態層面上,挖掘漏洞,并且提供自動的漏洞修復能力。”
此處還有趣事,付杰告訴雷鋒網,在下一代安全體系開發出來后,梆梆安全選擇了市面上一些知名的開源軟件進行掃描,結果竟然發現了一個非常嚴重的安全漏洞。
付杰告訴雷鋒網,整個過程就是讓計算機自己發現自己的問題,人只需要看結果就好。厲害了word機~
另外,編程、測試人員常需要構建所有異常業務訪問,或試圖造成攻擊的業務訪問。現在有了動態安全性測試這一神器之后可以用其分析所有的網絡流量,分析得出對的流量與錯的流量,并發送所有的錯誤網絡流量,根據其反映嘗試挖掘漏洞。
當這些漏洞被發現后,如果還是要依靠人工書寫規則,或者依賴開發人員的經驗用打補丁的方式來修復,這仍然不叫下一代應用安全。
有沒有機會實現自動防護?
付杰告訴雷鋒網,他們在前端構建了一塊系統來阻擋這些攻擊,也就是所謂的并行式自防護系統。目前來說,這一系統在整個安全行業屬于半啟動狀況,未達到成熟。
到此,就構成了一個完全基于機器學習驅動的,從發現到證實,再到修補,完整的應用安全防護體系,所以梆梆安全把它定義為下一代應用安全。
當然這僅是AI與安全結合的冰山一粟,不久之后這一范圍會繼續擴大。
付杰表示,“我很看好這套系統在工業物聯網上的應用。”
實際上今天工業物聯網的協議種類遠遠超出人們預期的協議種類,其中一些老舊協議的存在給分析和修改都造成了難度,更新協議更是不可能。如果能將這套系統應用在工業物聯網上,對硬件或是服務器協議進行維護,實現漏洞的修復,將非常有意義。
在最后,付杰用一個神秘的微笑結束了談話,“我們也利用這套系統在無監督的環境下發現了一個工業物聯網漏洞。”
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
