最近阿里工程師很火。

除了穿特步被相親對象diss的小伙，更有朋友圈刷屏的阿里安全資深專家杭特，吐槽安全圈八大怪象。

“我覺得不止八大，應該有十八大怪象?！闭f這話的是梆梆安全副總裁付杰，其中讓他印象最為深刻的怪象即以攻代防，“在安全行業(yè)，談破解遠比談滲透的多?！?/p>

▲付杰

媒體：今日XXX公司發(fā)現(xiàn)了某車高危漏洞，利用這一漏洞可以乾坤大挪移想開哪輛車開哪輛。

吃瓜群眾：蛤？好可怕，怎么辦怎么辦？

安全公司：（微笑臉）請及時更新/請注意編碼的問題/請靜待廠家修復……

吃瓜群眾：……

在付杰看來，安全的本質是一攻一防，但防守問題在今天整個信息安全行業(yè)中一直處于停滯階段。

為何是停滯的？

“低垂的果實”已被摘完

在被譽為“下一個弗里德曼”的美國經(jīng)濟學家泰勒·考恩出版的名為《大停滯》的書中，他用“低垂之果”解釋近半個世紀以來技術進步的趨緩：人類上一輪技術大爆發(fā)，實際上得益于最近四百年內(nèi)科學上的“范式革命”。如今我們已經(jīng)將這場“范式革命”相對易得的技術果實基本摘完了，想讓技術繼續(xù)維持高速增長，人類要么需要投入更多成本，爬得更高些去采摘更多果實，要么找一棵新樹——讓科學再次爆發(fā)“范式革命”。

類比安全行業(yè)，付杰把信息行業(yè)迅速發(fā)展、政策紅利、頻發(fā)的安全事件、愈發(fā)廉價的資源比作“低垂的果實”，過去幾年安全行業(yè)依賴這些唾手可得的“果實”發(fā)展，但這些果子被摘光了怎么辦？

一些需要解決的問題沒有取得大的進展，比如司空見慣的薅羊毛、搶票事件一直未能有效制止。甚至還衍生出了一種畸形思維：“依賴白帽黑客通過眾測方式尋找漏洞來取代安全防護，這很奇怪?！?/p>

找棵新樹有點難，要不尋求點“外掛”幫助？比如人工智能、大數(shù)據(jù)等。

知乎上有個帖子這樣形容人工智能，“人工智能是一種技術，但如果其不能找到一種業(yè)務場景落地，基本上只能裝13?！?/p>

把人工智能或大數(shù)據(jù)當做外掛付之以安全行業(yè)，在付杰看來是可行的。盡管目前業(yè)內(nèi)對此多處于半探索狀態(tài)，離實現(xiàn)真正商用尚需時日，但也在某些嘗試中實現(xiàn)了單點突破。

人工智能到底能為安全解決什么？先要退一步看看人工智能能做到什么。

AI＋安全四方面

付杰談了幾個方面。

首先是用機器學習來進行知識關聯(lián)分析，以及無標簽的網(wǎng)絡流量分析。

傳統(tǒng)分析網(wǎng)絡的做法是人工的為每個字段劃分標簽，這一段是IT，這一段是譯碼，這一段是金額，有時還需要進行二次編碼，之后再進行審計，這一系列的復雜工作都要依靠人力。

要知道，目前在網(wǎng)絡安全行業(yè)維護一個龐大的協(xié)議庫工作量巨大，特別在工業(yè)物聯(lián)網(wǎng)領域工作成本更高。但如果用機器學習、監(jiān)督學習對網(wǎng)絡流量做無標簽分析，則可以節(jié)省許多人力成本。當然這在今天已經(jīng)可以實現(xiàn)。

另外人工智能還可應用于病毒檢測，以及源代碼符號化處理等方面。

付杰笑稱在這方面他既是參與者也是受害者更是受益者。大概七八年前，他在使用某款專業(yè)工具掃描自己的源代碼時報出7000多個所謂的問題。

“當時我就懵逼了，因為總共我的源代碼才5000多個，這要去改嗎？”事實上這7000多個問題可能有6900個是誤報。

為何？

這還要從這類工具的原理說起。

這類工具基本依靠的還是特征識別技術，簡單理解就是先把眾多有問題的源代碼擺在那里，然后對你要掃描的源代碼進行匹配，盡管不同掃描工具匹配規(guī)則可高可低，處理語言的種類可多可少，但最終能發(fā)現(xiàn)的多不是漏洞，而是不規(guī)范的代碼問題。

所有的源代碼最后都會被轉化成什么？一段標準的符號機器碼。如果可以用深度學習、機器學習來處理源代碼，將源代碼做一個整體進行分析發(fā)現(xiàn)其存在的漏洞，遠比通過匹配發(fā)現(xiàn)的漏洞準確得多。

“好歹程序是標準的，人的語言是不標準的?！?/p>

上面幾項是將人工智能與安全結合可以走得通的路，那再往下可以做些什么？

下一代應用安全

“回到最開始的問題，如果要構建一套比較安全的業(yè)務系統(tǒng)，拋開人的能力問題來講，我們應該會怎么做？” 

開發(fā)過程中的源代碼漏洞挖掘、測試過程中的程序漏洞及業(yè)務邏輯漏洞挖掘、運行過程中的漏洞攻擊及業(yè)務漏洞利用、運行過程中的欺詐行為識別，曾幾何時，這些工作僅能由專業(yè)人員完成。

“去給客戶審十萬個源代碼里面的漏洞，經(jīng)常需要花費大量人力物力，審的昏天暗地?！备督苄Φ馈?/p>

所以梆梆安全計劃在明年推出一套新系統(tǒng)，叫下一代應用安全。

為什么叫下一代應用安全？因為梆梆安全不但做了下一代、還做了上一代應用安全。

時間回溯過去的三到五年，梆梆安全的上一代應用安全主要聚焦于移動應用保護技術，基于加密、加殼、混淆、虛擬化等技術手段，阻止惡意攻擊者發(fā)現(xiàn)移動應用內(nèi)部的缺陷、漏洞，保護移動應用免遭惡意破解、篡改、二次打包各類攻擊。

“也就是過去五年，我們用了各種技術防止別人發(fā)現(xiàn)應用內(nèi)部的安全隱患。但是今天更好的手法是什么？是找出問題，把它徹底解決?！?/p>

現(xiàn)在梆梆安全希望構建的下一代安全體系是從靜態(tài)分析，到動態(tài)分析，再到實時防護的完整體系。其與上一代本質的區(qū)別就是，無論是靜態(tài)安全性測試還是動態(tài)安全性測試，使用大量的深度學習技術來知道所有的業(yè)務流量特征，以此用這種方法構建出所有的可能攻擊狀況，進而測試應用是否安全。此處可以想做上帝視角，下一代安全體系就是“天黑不閉眼”的預言家了。最后，通過對用戶的業(yè)務學習，來構建業(yè)務的實時防御規(guī)則。

“整個目標指向的是在靜態(tài)和動態(tài)層面上，挖掘漏洞，并且提供自動的漏洞修復能力。”

此處還有趣事，付杰告訴雷鋒網(wǎng)，在下一代安全體系開發(fā)出來后，梆梆安全選擇了市面上一些知名的開源軟件進行掃描，結果竟然發(fā)現(xiàn)了一個非常嚴重的安全漏洞。

付杰告訴雷鋒網(wǎng)，整個過程就是讓計算機自己發(fā)現(xiàn)自己的問題，人只需要看結果就好。厲害了word機～

另外，編程、測試人員常需要構建所有異常業(yè)務訪問，或試圖造成攻擊的業(yè)務訪問。現(xiàn)在有了動態(tài)安全性測試這一神器之后可以用其分析所有的網(wǎng)絡流量，分析得出對的流量與錯的流量，并發(fā)送所有的錯誤網(wǎng)絡流量，根據(jù)其反映嘗試挖掘漏洞。

當這些漏洞被發(fā)現(xiàn)后，如果還是要依靠人工書寫規(guī)則，或者依賴開發(fā)人員的經(jīng)驗用打補丁的方式來修復，這仍然不叫下一代應用安全。

有沒有機會實現(xiàn)自動防護？

付杰告訴雷鋒網(wǎng)，他們在前端構建了一塊系統(tǒng)來阻擋這些攻擊，也就是所謂的并行式自防護系統(tǒng)。目前來說，這一系統(tǒng)在整個安全行業(yè)屬于半啟動狀況，未達到成熟。

到此，就構成了一個完全基于機器學習驅動的，從發(fā)現(xiàn)到證實，再到修補，完整的應用安全防護體系，所以梆梆安全把它定義為下一代應用安全。

結語

當然這僅是AI與安全結合的冰山一粟，不久之后這一范圍會繼續(xù)擴大。

付杰表示，“我很看好這套系統(tǒng)在工業(yè)物聯(lián)網(wǎng)上的應用?！?/p>

實際上今天工業(yè)物聯(lián)網(wǎng)的協(xié)議種類遠遠超出人們預期的協(xié)議種類，其中一些老舊協(xié)議的存在給分析和修改都造成了難度，更新協(xié)議更是不可能。如果能將這套系統(tǒng)應用在工業(yè)物聯(lián)網(wǎng)上，對硬件或是服務器協(xié)議進行維護，實現(xiàn)漏洞的修復，將非常有意義。

在最后，付杰用一個神秘的微笑結束了談話，“我們也利用這套系統(tǒng)在無監(jiān)督的環(huán)境下發(fā)現(xiàn)了一個工業(yè)物聯(lián)網(wǎng)漏洞?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。