為安全而生:用人工智能檢測軟件安全風險
ProjectSpringfield團隊成員,從左至右:StasTishkin,WilliamBlum,MarcGreisen,CheickOmarKeita,DaveTamasi,DavidMolnar(坐),TheresaPacheco,MarinaPolishchuk,PatriceGodefroid,RamNagaraja
微軟目前正在開發一種云服務,可借助人工智能追蹤軟件中的錯誤和漏洞,并將向Linux用戶提供這套工具的預覽版。
微軟安全風險檢測(MicrosoftSecurityRiskDetection,以前稱為ProjectSpringfield)是一套基于云的工具,開發者可以利用該云服務查找即將發布或已投入使用的軟件中的錯誤和其它安全漏洞。在軟件發布之前就找到其中漏洞,可以為企業省去軟件發布后再修復錯誤、處理崩潰或應對攻擊等一系列麻煩。
微軟研究員DavidMolnar所領導的團隊開發了這套風險檢測工具。Molnar表示,以往企業都會聘請安全專家來承擔這項工作,即所謂的模糊測試(但他們未必真的這樣做)。但是面對日益增加的需要測試的軟件,安全專家們顯得越來越力不從心,而且現在保護系統免受攻擊也正變得比以往任何時候都更加重要。
他表示,風險檢測服務可以作為輔助手段,幫助開發人員借助人工智能來查找安全問題。
他說:我們通過人工智能技術來自動執行人工查找錯誤所使用的相同推理過程,并借助云的強大功能,對其加以擴展。
模糊測試是專家們為保持系統安全而建議采取的諸多措施之一,www.twshmhelmet.com,用于查找可能被惡意攻擊或直接擊潰系統的漏洞。通過模糊測試查找出漏洞之后,開發人員可以使用其它工具來修復漏洞、降低風險或探索其它解決方案。
微軟安全風險檢測服務的獨特之處在于它使用人工智能來提出一系列假如會怎樣的問題,試圖發現可能觸發崩潰并引發安全隱患的因素。每次運行時,它都會重點關注最為關鍵的區域,以尋找其它未采用智能方法的工具可能會忽視的漏洞。
Molnar表示,這套工具非常適合獨立開發軟件、修改現成軟件或使用開源產品許可證的企業。
微軟安全風險檢測團隊負責人、微軟研究員DavidMolnar
DocuSign公司是一家幫助用戶以電子方式而不再以紙筆方式簽署文件的公司。他們參加了2016年秋季發布的Windows版風險檢測服務的小范圍試用。DocuSign軟件安全高級總監JohnHeasman表示,這套工具幫助他們識別出了其它方式可能無法發現的潛在錯誤。
他強調說,微軟這套工具幾乎從未給出誤報(即實際上并不構成問題的潛在錯誤)。其實誤報本身也是業內關注的問題之一,機器人維修,因為安全專家需要花費大量時間去排查誤報的漏洞,并且因此可能會漏掉真實存在的漏洞。
這類解決方案很少有這么低的誤報率。Heasman說。
Heasman表示,DocuSign使用微軟安全風險檢測工具來查找已購買或獲得許可的軟件中的錯誤和漏洞,公司希望通過將這套工具整合到一款用于處理用戶上傳文檔的軟件中,來檢測文檔中可能包含的惡意內容,并且可以主動發現問題、避免潛在的攻擊。
Molnar表示,事實證明微軟安全風險檢測工具能夠極大地幫助那些正在經歷大規模數字化轉型的公司,以及幫助那些將新技術納入到以往純憑手工完成或僅使用初級技術的業務流程中。
他指出,這些公司的員工可能是各自核心業務領域內的世界級專家無論是釀造啤酒還是出售冰淇淋,但他們未必有專職人員對即將使用的新軟件進行復雜的安全測試。
植根于微軟自己的安全測試
自本世紀前十幾年的中期以來,微軟自身一直都在使用微軟安全風險檢測服務中的一個關鍵組件SAGE,它已用于檢測多個版本的Windows、Office和其他微軟產品中的錯誤和漏洞。不僅如此,微軟多個產品團隊目前也都在使用該風險檢測工具,并將其作為微軟安全開發生命周期的一部分。
微軟安全風險檢測服務捆綁了SAGE以及其他模糊檢測工具,擁有友好的用戶界面及其他工具,KUKA機器人電路板維修,且目前在微軟Azure云中運行。