根據谷歌威脅分析小組的乙份報告,2023 年主要的零日漏洞大幅增加,零日漏洞再次公升溫,從商業間諜活動到勒索軟體攻擊,零日漏洞正在從“小眾奢侈品”轉向“大規模快速商品”。
2024年,零日漏洞+**鏈式攻擊仍將是網路攻擊的“最佳搭檔”,讓全球企業心生畏懼。
面對新的“零日危機”,谷歌近日做出重大決定,宣布其零日漏洞“挖洞神器”——模糊框架oss-fuzz(文末鏈結)免費提供。 谷歌聲稱,此舉是為了幫助開發人員和研究人員更容易地發現軟體漏洞。
模糊測試的智慧型化和自動化
模糊測試是一種通過將意外資料輸入軟體以模擬惡意攻擊來發現潛在漏洞的技術。
行業專家普遍認為,模糊測試是一種強大的軟體安全工具,它不僅可以識別常見的低嚴重性漏洞,還可以識別緩衝區溢位等高風險問題。 Synopsys Software Integrity Group 高階安全產品經理 John McShane 表示:“模糊測試已經存在了幾十年,並且隨著其在發現未知和零日漏洞方面的成功而越來越受歡迎。 臭名昭著的心臟出血漏洞是由安全工程師使用商業模糊測試產品Defensics發現的。 ”
Cobalt Labs 網路安全服務主管 Gisela Hinojosa 補充道:“模糊測試可以發現許多'低掉落'漏洞,也可以暴露一些高影響的漏洞。 由於模糊測試是自動化的,因此不需要監督,它會自動執行測試,幾乎無需擔心。 這是一種相對簡單易行的查詢漏洞的方法。 ”
儘管如此,傳統的模糊測試仍然需要大量的手動工作,但借助大型語言模型 (LLM) 的強大功能,Google 的 OSS-Fuzz 可以自動化一些手動流程並顯著提高效率。
在一篇博文中,谷歌開源安全團隊的一名成員寫道:“我們使用大型語言模型編寫了特定於專案的**,以提高模糊測試覆蓋率並發現更多漏洞。 “通過提高OSS-Fuzz大型語言模型的測試覆蓋率,團隊成員成功發現了兩個以前未知的CJSON和libplist漏洞,這些漏洞已經模糊了很長時間,但以前沒有被發現。 他們強調:
如果沒有生成的大型語言模型,這兩個漏洞可能永遠不會被發現和修復。
模糊測試不能替代安全設計原則
大西洋理事會(Atlantic Council)高階研究員、Rust**會議顧問Shane Miller警告說:“投資動態測試工具(如模糊測試)並不能替代安全設計原則,例如選擇記憶體安全程式語言。 儘管如此,模糊測試仍然是提高軟體安全性的強大工具。 ”
模糊測試通過使用意想不到的輸入來探索軟體行為,從而擴大了測試範圍,揭示了類似於最近針對美國水處理廠、電網、石油和天然氣管道和交通樞紐等關鍵基礎設施的國家支援的網路攻擊中利用的漏洞,“公尺勒補充道。
雖然模糊測試對開發人員是有益的,但手動模糊測試一直是開源專案維護者有效模糊測試的障礙。 谷歌希望通過免費提供oss-fuzz來解決這個問題。 Michael J.,Dark Sky Technology Software Chain Security 首席執行官“由於開源專案維護者通常是志願者,資金有限,因此花費時間和金錢執行資源密集型工具並不總是可行的,”Mehlberg說。 ”
Mehlberg補充說,傳統的模糊測試工具也存在不容忽視的問題:
“例如,模糊測試工具還會使原本簡單的開發環境複雜化,產生大量誤報,給已經緊張的團隊增加審查和分析,甚至可能由於缺乏網路安全技能或經驗而無法採取行動。 ”
AI 驅動的漏洞修補
Google 為開發者和研究人員提供了使用大型語言模型開發自動化補丁管道的指南。 “這種人工智慧驅動的修補方法解決了15%的目標漏洞,為工程師節省了大量時間,”谷歌安全團隊成員在部落格中寫道。 ”
然而,Hinojosa 指出,使用大型語言模型自動打補丁的挑戰在於,大型語言模型需要具備所有必要的上下文知識,以便在不破壞系統的情況下有效地進行修補修復。 “我認為讓自動化系統提出修復建議,然後在實施之前讓人工手動審查它更安全。 ”
普渡大學電腦科學助理教授D**e (Jing) Tian補充道:“打補丁工作中最關鍵的問題不是自動化,而是安全性。 事實證明,很難證明補丁只做它應該做的事情,不多也不少。 因此,目前只有少數補丁可以自動注入,這些補丁都是簡單的補丁,例如將變數的 32 位整數更改為 64 位整數。 對於更複雜的補丁,我們仍然需要安全專家來審查 AI 補丁。 ”
結論
Google 免費開放的 OSS-Fuzz 模糊測試框架是使用 AI 提高軟體安全性(工具)的重要一步。 雖然模糊測試和 AI 驅動的補丁已顯示出巨大的潛力,但人工監督對於確保安全仍然至關重要。 通過將新一代智慧型模糊測試工具與安全設計實踐相結合,開發人員可以顯著提高其軟體的安全性和彈性。
參考鏈結: