亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

五角大樓的漏洞神器:Mayhem

在今年的RSAC2020創新沙盒大賽上,有一家公司雖然沒有染指冠軍,但是獲得了到場的周鴻祎、趙糧等中國網絡安全大佬的一致點贊。這家公司就是ForALLSecure。

ForAllSecure是由來自卡耐基梅隆大學的ForAllSecure安全研究團隊于2012年創立的公司,創始人David Brumley、Thanassis Avgerinos和Alex Rebert均來自卡耐基梅隆大學并擁有相關專業背景。公司在A輪融資中獲得1500萬美元,由New Enterprise Associates領投。

ForAllSecure主打“下一代”模糊測試技術,并基于此技術實現模糊測試系統Mayhem,在美國國防部先進項目研究局(DARPA)2016年主辦的網絡超級挑戰賽(CGC)中,Mayhem一戰成名贏得了200萬美元的最高獎金,參賽服務器被史密森尼博物館收藏。

2017年,ForAllSecure被《麻省理工科技評論》選入“全球最聰明的50家公司”榜單(位列第35名)。

如今,距離人工智能最火爆的2016年已經過去四年,人工智能燥熱消退,泡沫破裂,包括IBM沃森在內的曾經萬眾矚目的人工智能項目都面臨前所未有的瓶頸和困局,作為網絡安全乃至人工智能界的“第一代網紅”,Mayhem的商業化發展是否順利?今天的Mayhem到底是學術界的玩物,還是真的能夠成為業界一大殺器?

下一代模糊測試技術

根據綠盟科技的RSAC2020大會現場報道和點評,ForAllSecure公司目前提供Mayhem模糊測試解決方案,將自動化持續性安全測試融入DevOps流程,力求在早期發現漏洞、修復漏洞,以提高軟件安全性。與傳統模糊測試技術相比,該“下一代”模糊測試技術結合使用“符號執行”技術和“導向型模糊測試”技術,能夠針對測試發現的安全漏洞自動化生成概念性驗證(PoC)和補丁,在一定程度上避免傳統白盒測試的高誤報和黑盒測試的盲目性,具有很高的創新性和價值。

綠盟總結了Mayhem的五個特點如下:

  • 持續性深度分析:隨著目標程序知識的積累,Mayhem的分析將逐漸深入,代碼覆蓋率將逐漸提升。
  • 零誤報:Mayhem報告的所有缺陷均是準確的(因為它會自動生成PoC去測試)。
  • 自動化生成測試用例:基于團隊在卡耐基梅隆大學的專利技術,Mayhem能夠利用目標反饋在運行時自動化生成測試用例。
  • 安全左移:在安全開發流程中,Mayhem將動態分析、模糊測試及威脅建模等測試與驗證步驟左移,幫助企業控制修復成本。它能夠直接插入到CI流水線中,將持續性測試作為DevOps工作流的一部分。
  • 軟件供應鏈管理:Mayhem能夠對應用依賴的開源或第三方代碼進行威脅評估,以減少軟件供應鏈中存在的風險。

五角大樓的訂單

那么,廣受贊譽和矚目的Mayhem下一代模糊測試技術,在實際應用中的表現如何?

去年底,互聯網基礎設施公司Cloudflare開始用Mayhem測試其網站圖片壓縮軟件(Cloudflare向云計算客戶提供的圖片壓縮和網站加速工具),結果發現Mayhem生成了一種“邪惡的”,由黑灰像素組成的圖片(編者按:類似對抗性樣本),能夠導致圖片壓縮軟件崩潰,這是過去傳統的安全測試難以發現的bug。

自那以后,Cloudflare開始將Mayhem作為安全工具的標準部分。

但真正讓Mayhem在安全測試領域登堂入室的,是來自美國軍方的一個大額訂單。五角大樓上個月與ForAllSecure簽訂了一份價值4500萬美元的合同,以擴大Mayhem在美軍中的使用范圍,因為軍方有太多軟件bug急需一個“漏洞大殺器”。一份2018年度的美國政府工作報告發現,美國國防部2012年至2017年之間測試的所有武器系統都存在嚴重的軟件漏洞。

即使在今天看來,Mayhem可能依然不夠成熟,并不足以完全替代人類漏洞獵人/分析師的工作,后者利用軟件設計知識,代碼閱讀技能,創造力和直覺來發現漏洞。但是ForAllSecure聯合創始人兼首席執行官David Brumley表示,Mayhem可以幫助人類專家完成更多工作。這個世界上的軟件有太多的安全漏洞,遠遠超出了專家的時間和精力,并且每分鐘都會發布更多的新漏洞??突仿〈髮W教授Brumley說:

所謂安全性不是安全或不安全,而是取決于你行動的速度。

Brumley指出,Mayhem贏得DARPA CGC挑戰賽這種經歷使他確信,從實驗室走出來的Mayhem在現實世界中可能會有用。

但值得注意的是,在商業化道路上,Brumley選擇擱置Mayhem的“紅隊”攻擊能力,重點對自動防御能力進行商業化。

網絡大挑戰賽表明完全自主的安全性是可能的。計算機可以做得相當不錯。

中國和以色列政府也是這樣認為的,兩者都向ForAllSecure提供了合同,但是ForAllSecure最后選擇了山姆大叔——今年5月份與五角大樓的國防創新部門(DIU)簽訂了合同,該部門試圖將新興網絡安全技術快速引入美國軍方。

在軍方“上班第一天”,Mayhem就面臨一個頗具挑戰性的任務——在美軍使用商用客機控制軟件尋找漏洞。結果Mayhem只花了幾分鐘,就發現了一個漏洞,該漏洞隨后由飛機制造商進行了驗證和修復。

Mayhem發現的其他錯誤包括今年早些時候在數百萬個網絡設備中使用的OpenWRT軟件中的嚴重漏洞。去年秋天,ForAllSecure的兩名實習生使用Mayhem從手機分享視頻到電視的軟件中查找到漏洞并斬獲了Netflix的漏洞賞金。

Brumley說,汽車和航空航天公司對Mayhem的興趣也特別強烈。汽車和飛機越來越依賴于軟件,這些軟件需要可靠地運行多年,并且很少更新(如果有的話)。

未來:Cyborg還是純AI?

目前,Mayhem僅適用于基于Linux的操作系統的程序,并以兩種方式發現漏洞,一種是分散的(模糊測試),另一種是針對性的。

第一種是稱為模糊測試的技術,它涉及用隨機生成的輸入(例如命令或照片)轟擊目標軟件,并觀察是否有任何觸發可利用的bug。第二種方法稱為符號執行,涉及創建目標軟件的簡化數學表示。

查找軟件bug這種工作,計算機可以做得很好。

——FORALLSECURE聯合創始人兼首席執行官DAVID BRUMLEY

近年來,模糊測試已越來越廣泛地用于計算機安全中。去年,谷歌發布了一個模糊測試工具ClusterFuzz,聲稱已經在其Chrome瀏覽器中發現了超過16,000個錯誤。但是Cloudflare的安全工程師Haynes認為,該技術在行業中仍然不常用,因為模糊測試工具通常需要對每個目標程序進行非常仔細的調整。相比之下Mayhem的適應性更強,從而使Cloudflare可以以更常規的方式進行模糊測試。Haynes說,符號執行可以發現更復雜的錯誤,以前主要在研究實驗室中使用。

亞利桑那州立大學王若宇教授表示, Mayhem僅僅是計算機安全自動化未來的開始,尋找bug的機器人需要與人類進行更多的協作。

王教授指出,Mayhem已經證明了安全自動化技術可以做有用的工作,但是現有的自動漏洞查找工具對于復雜的互聯網服務或軟件包并沒有太大幫助。最好的軟件也還遠遠不夠智能,無法像人們一樣理解程序的意圖和功能。但是,Mayhem能夠比人類更快地嘗試許多不同測試數據的能力也是無可替代的?!白詣诱业铰┒吹脑S多難題短期內很難解決。”王教授說道。

王若宇教授是Mechanical Phish團隊的成員,該團隊在Mayhem奪冠的2016年Darpa錦標賽中排名第三?,F在,他正在研究DARPA的一個新項目——CHESS(The Computers and Humans Exploring Software Security),試圖開發更強大的漏洞發現軟件,該漏洞發現軟件可以利用人類的幫助來解決機器無法正常運行的問題。

目前,最先進的自動化漏洞查找技術的問題是不知道自己是否碰到不可逾越的障礙,并選擇向人類咨詢。今天,Mayhem以單打獨斗的方式尋找漏洞,但其后繼產品應當是團隊協作模式。

參考資料:

This Bot Hunts Software Bugs for the Pentagon:

https://www.wired.com/story/bot-hunts-software-bugs-pentagon/?bxid=5cc9e1c42ddf9c1a7adec2b7

 

上一篇:臺州銀行部署亞信安全OfficeScan 實現技術管理“雙升”

下一篇:ImmuniWeb發布暗網數據泄露監測工具