0
| 本文作者: 又田 | 2018-01-29 11:30 |
最近阿里工程師很火。
除了穿特步被相親對(duì)象diss的小伙,更有朋友圈刷屏的阿里安全資深專家杭特,吐槽安全圈八大怪象。
“我覺得不止八大,應(yīng)該有十八大怪象。”說(shuō)這話的是梆梆安全副總裁付杰,其中讓他印象最為深刻的怪象即以攻代防,“在安全行業(yè),談破解遠(yuǎn)比談滲透的多。”
▲付杰
媒體:今日XXX公司發(fā)現(xiàn)了某車高危漏洞,利用這一漏洞可以乾坤大挪移想開哪輛車開哪輛。
吃瓜群眾:蛤?好可怕,怎么辦怎么辦?
安全公司:(微笑臉)請(qǐng)及時(shí)更新/請(qǐng)注意編碼的問題/請(qǐng)靜待廠家修復(fù)……
吃瓜群眾:……
在付杰看來(lái),安全的本質(zhì)是一攻一防,但防守問題在今天整個(gè)信息安全行業(yè)中一直處于停滯階段。
為何是停滯的?
“低垂的果實(shí)”已被摘完
在被譽(yù)為“下一個(gè)弗里德曼”的美國(guó)經(jīng)濟(jì)學(xué)家泰勒·考恩出版的名為《大停滯》的書中,他用“低垂之果”解釋近半個(gè)世紀(jì)以來(lái)技術(shù)進(jìn)步的趨緩:人類上一輪技術(shù)大爆發(fā),實(shí)際上得益于最近四百年內(nèi)科學(xué)上的“范式革命”。如今我們已經(jīng)將這場(chǎng)“范式革命”相對(duì)易得的技術(shù)果實(shí)基本摘完了,想讓技術(shù)繼續(xù)維持高速增長(zhǎng),人類要么需要投入更多成本,爬得更高些去采摘更多果實(shí),要么找一棵新樹——讓科學(xué)再次爆發(fā)“范式革命”。
類比安全行業(yè),付杰把信息行業(yè)迅速發(fā)展、政策紅利、頻發(fā)的安全事件、愈發(fā)廉價(jià)的資源比作“低垂的果實(shí)”,過去幾年安全行業(yè)依賴這些唾手可得的“果實(shí)”發(fā)展,但這些果子被摘光了怎么辦?
一些需要解決的問題沒有取得大的進(jìn)展,比如司空見慣的薅羊毛、搶票事件一直未能有效制止。甚至還衍生出了一種畸形思維:“依賴白帽黑客通過眾測(cè)方式尋找漏洞來(lái)取代安全防護(hù),這很奇怪。”
找棵新樹有點(diǎn)難,要不尋求點(diǎn)“外掛”幫助?比如人工智能、大數(shù)據(jù)等。
知乎上有個(gè)帖子這樣形容人工智能,“人工智能是一種技術(shù),但如果其不能找到一種業(yè)務(wù)場(chǎng)景落地,基本上只能裝13。”
把人工智能或大數(shù)據(jù)當(dāng)做外掛付之以安全行業(yè),在付杰看來(lái)是可行的。盡管目前業(yè)內(nèi)對(duì)此多處于半探索狀態(tài),離實(shí)現(xiàn)真正商用尚需時(shí)日,但也在某些嘗試中實(shí)現(xiàn)了單點(diǎn)突破。
人工智能到底能為安全解決什么?先要退一步看看人工智能能做到什么。
付杰談了幾個(gè)方面。
首先是用機(jī)器學(xué)習(xí)來(lái)進(jìn)行知識(shí)關(guān)聯(lián)分析,以及無(wú)標(biāo)簽的網(wǎng)絡(luò)流量分析。
傳統(tǒng)分析網(wǎng)絡(luò)的做法是人工的為每個(gè)字段劃分標(biāo)簽,這一段是IT,這一段是譯碼,這一段是金額,有時(shí)還需要進(jìn)行二次編碼,之后再進(jìn)行審計(jì),這一系列的復(fù)雜工作都要依靠人力。
要知道,目前在網(wǎng)絡(luò)安全行業(yè)維護(hù)一個(gè)龐大的協(xié)議庫(kù)工作量巨大,特別在工業(yè)物聯(lián)網(wǎng)領(lǐng)域工作成本更高。但如果用機(jī)器學(xué)習(xí)、監(jiān)督學(xué)習(xí)對(duì)網(wǎng)絡(luò)流量做無(wú)標(biāo)簽分析,則可以節(jié)省許多人力成本。當(dāng)然這在今天已經(jīng)可以實(shí)現(xiàn)。
另外人工智能還可應(yīng)用于病毒檢測(cè),以及源代碼符號(hào)化處理等方面。
付杰笑稱在這方面他既是參與者也是受害者更是受益者。大概七八年前,他在使用某款專業(yè)工具掃描自己的源代碼時(shí)報(bào)出7000多個(gè)所謂的問題。
“當(dāng)時(shí)我就懵逼了,因?yàn)榭偣参业脑创a才5000多個(gè),這要去改嗎?”事實(shí)上這7000多個(gè)問題可能有6900個(gè)是誤報(bào)。
為何?
這還要從這類工具的原理說(shuō)起。
這類工具基本依靠的還是特征識(shí)別技術(shù),簡(jiǎn)單理解就是先把眾多有問題的源代碼擺在那里,然后對(duì)你要掃描的源代碼進(jìn)行匹配,盡管不同掃描工具匹配規(guī)則可高可低,處理語(yǔ)言的種類可多可少,但最終能發(fā)現(xiàn)的多不是漏洞,而是不規(guī)范的代碼問題。
所有的源代碼最后都會(huì)被轉(zhuǎn)化成什么?一段標(biāo)準(zhǔn)的符號(hào)機(jī)器碼。如果可以用深度學(xué)習(xí)、機(jī)器學(xué)習(xí)來(lái)處理源代碼,將源代碼做一個(gè)整體進(jìn)行分析發(fā)現(xiàn)其存在的漏洞,遠(yuǎn)比通過匹配發(fā)現(xiàn)的漏洞準(zhǔn)確得多。
“好歹程序是標(biāo)準(zhǔn)的,人的語(yǔ)言是不標(biāo)準(zhǔn)的。”
上面幾項(xiàng)是將人工智能與安全結(jié)合可以走得通的路,那再往下可以做些什么?
“回到最開始的問題,如果要構(gòu)建一套比較安全的業(yè)務(wù)系統(tǒng),拋開人的能力問題來(lái)講,我們應(yīng)該會(huì)怎么做?”
開發(fā)過程中的源代碼漏洞挖掘、測(cè)試過程中的程序漏洞及業(yè)務(wù)邏輯漏洞挖掘、運(yùn)行過程中的漏洞攻擊及業(yè)務(wù)漏洞利用、運(yùn)行過程中的欺詐行為識(shí)別,曾幾何時(shí),這些工作僅能由專業(yè)人員完成。
“去給客戶審十萬(wàn)個(gè)源代碼里面的漏洞,經(jīng)常需要花費(fèi)大量人力物力,審的昏天暗地。”付杰笑道。
所以梆梆安全計(jì)劃在明年推出一套新系統(tǒng),叫下一代應(yīng)用安全。
為什么叫下一代應(yīng)用安全?因?yàn)榘鸢鸢踩坏隽讼乱淮⑦€做了上一代應(yīng)用安全。
時(shí)間回溯過去的三到五年,梆梆安全的上一代應(yīng)用安全主要聚焦于移動(dòng)應(yīng)用保護(hù)技術(shù),基于加密、加殼、混淆、虛擬化等技術(shù)手段,阻止惡意攻擊者發(fā)現(xiàn)移動(dòng)應(yīng)用內(nèi)部的缺陷、漏洞,保護(hù)移動(dòng)應(yīng)用免遭惡意破解、篡改、二次打包各類攻擊。
“也就是過去五年,我們用了各種技術(shù)防止別人發(fā)現(xiàn)應(yīng)用內(nèi)部的安全隱患。但是今天更好的手法是什么?是找出問題,把它徹底解決。”
現(xiàn)在梆梆安全希望構(gòu)建的下一代安全體系是從靜態(tài)分析,到動(dòng)態(tài)分析,再到實(shí)時(shí)防護(hù)的完整體系。其與上一代本質(zhì)的區(qū)別就是,無(wú)論是靜態(tài)安全性測(cè)試還是動(dòng)態(tài)安全性測(cè)試,使用大量的深度學(xué)習(xí)技術(shù)來(lái)知道所有的業(yè)務(wù)流量特征,以此用這種方法構(gòu)建出所有的可能攻擊狀況,進(jìn)而測(cè)試應(yīng)用是否安全。此處可以想做上帝視角,下一代安全體系就是“天黑不閉眼”的預(yù)言家了。最后,通過對(duì)用戶的業(yè)務(wù)學(xué)習(xí),來(lái)構(gòu)建業(yè)務(wù)的實(shí)時(shí)防御規(guī)則。
“整個(gè)目標(biāo)指向的是在靜態(tài)和動(dòng)態(tài)層面上,挖掘漏洞,并且提供自動(dòng)的漏洞修復(fù)能力。”
此處還有趣事,付杰告訴雷鋒網(wǎng),在下一代安全體系開發(fā)出來(lái)后,梆梆安全選擇了市面上一些知名的開源軟件進(jìn)行掃描,結(jié)果竟然發(fā)現(xiàn)了一個(gè)非常嚴(yán)重的安全漏洞。
付杰告訴雷鋒網(wǎng),整個(gè)過程就是讓計(jì)算機(jī)自己發(fā)現(xiàn)自己的問題,人只需要看結(jié)果就好。厲害了word機(jī)~
另外,編程、測(cè)試人員常需要構(gòu)建所有異常業(yè)務(wù)訪問,或試圖造成攻擊的業(yè)務(wù)訪問。現(xiàn)在有了動(dòng)態(tài)安全性測(cè)試這一神器之后可以用其分析所有的網(wǎng)絡(luò)流量,分析得出對(duì)的流量與錯(cuò)的流量,并發(fā)送所有的錯(cuò)誤網(wǎng)絡(luò)流量,根據(jù)其反映嘗試挖掘漏洞。
當(dāng)這些漏洞被發(fā)現(xiàn)后,如果還是要依靠人工書寫規(guī)則,或者依賴開發(fā)人員的經(jīng)驗(yàn)用打補(bǔ)丁的方式來(lái)修復(fù),這仍然不叫下一代應(yīng)用安全。
有沒有機(jī)會(huì)實(shí)現(xiàn)自動(dòng)防護(hù)?
付杰告訴雷鋒網(wǎng),他們?cè)谇岸藰?gòu)建了一塊系統(tǒng)來(lái)阻擋這些攻擊,也就是所謂的并行式自防護(hù)系統(tǒng)。目前來(lái)說(shuō),這一系統(tǒng)在整個(gè)安全行業(yè)屬于半啟動(dòng)狀況,未達(dá)到成熟。
到此,就構(gòu)成了一個(gè)完全基于機(jī)器學(xué)習(xí)驅(qū)動(dòng)的,從發(fā)現(xiàn)到證實(shí),再到修補(bǔ),完整的應(yīng)用安全防護(hù)體系,所以梆梆安全把它定義為下一代應(yīng)用安全。
當(dāng)然這僅是AI與安全結(jié)合的冰山一粟,不久之后這一范圍會(huì)繼續(xù)擴(kuò)大。
付杰表示,“我很看好這套系統(tǒng)在工業(yè)物聯(lián)網(wǎng)上的應(yīng)用。”
實(shí)際上今天工業(yè)物聯(lián)網(wǎng)的協(xié)議種類遠(yuǎn)遠(yuǎn)超出人們預(yù)期的協(xié)議種類,其中一些老舊協(xié)議的存在給分析和修改都造成了難度,更新協(xié)議更是不可能。如果能將這套系統(tǒng)應(yīng)用在工業(yè)物聯(lián)網(wǎng)上,對(duì)硬件或是服務(wù)器協(xié)議進(jìn)行維護(hù),實(shí)現(xiàn)漏洞的修復(fù),將非常有意義。
在最后,付杰用一個(gè)神秘的微笑結(jié)束了談話,“我們也利用這套系統(tǒng)在無(wú)監(jiān)督的環(huán)境下發(fā)現(xiàn)了一個(gè)工業(yè)物聯(lián)網(wǎng)漏洞。”
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
