Project Springfield團(tuán)隊(duì)成員,從左至右:Stas Tishkin, William Blum, Marc Greisen, Cheick Omar Keita, Dave Tamasi, David Molnar (坐) , Theresa Pacheco, Marina Polishchuk, Patrice Godefroid, Ram Nagaraja
微軟目前正在開(kāi)發(fā)一種云服務(wù),可借助人工智能追蹤軟件中的錯(cuò)誤和漏洞,并將向Linux用戶提供這套工具的預(yù)覽版。
微軟安全風(fēng)險(xiǎn)檢測(cè)(Microsoft Security Risk Detection,以前稱為Project Springfield)是一套基于云的工具,開(kāi)發(fā)者可以利用該云服務(wù)查找即將發(fā)布或已投入使用的軟件中的錯(cuò)誤和其它安全漏洞。在軟件發(fā)布之前就找到其中漏洞,可以為企業(yè)省去軟件發(fā)布后再修復(fù)錯(cuò)誤、處理崩潰或應(yīng)對(duì)攻擊等一系列麻煩。
微軟研究員David Molnar所領(lǐng)導(dǎo)的團(tuán)隊(duì)開(kāi)發(fā)了這套風(fēng)險(xiǎn)檢測(cè)工具。Molnar表示,以往企業(yè)都會(huì)聘請(qǐng)安全專家來(lái)承擔(dān)這項(xiàng)工作,即所謂的模糊測(cè)試(但他們未必真的這樣做)。但是面對(duì)日益增加的需要測(cè)試的軟件,安全專家們顯得越來(lái)越力不從心,而且現(xiàn)在保護(hù)系統(tǒng)免受攻擊也正變得比以往任何時(shí)候都更加重要。
他表示,風(fēng)險(xiǎn)檢測(cè)服務(wù)可以作為輔助手段,幫助開(kāi)發(fā)人員借助人工智能來(lái)查找安全問(wèn)題。
他說(shuō):“我們通過(guò)人工智能技術(shù)來(lái)自動(dòng)執(zhí)行人工查找錯(cuò)誤所使用的相同推理過(guò)程,并借助云的強(qiáng)大功能,對(duì)其加以擴(kuò)展。”
模糊測(cè)試是專家們?yōu)楸3窒到y(tǒng)安全而建議采取的諸多措施之一,用于查找可能被惡意攻擊或直接擊潰系統(tǒng)的漏洞。通過(guò)模糊測(cè)試查找出漏洞之后,開(kāi)發(fā)人員可以使用其它工具來(lái)修復(fù)漏洞、降低風(fēng)險(xiǎn)或探索其它解決方案。
微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)的獨(dú)特之處在于它使用人工智能來(lái)提出一系列“假如……會(huì)怎樣”的問(wèn)題,試圖發(fā)現(xiàn)可能觸發(fā)崩潰并引發(fā)安全隱患的因素。每次運(yùn)行時(shí),它都會(huì)重點(diǎn)關(guān)注最為關(guān)鍵的區(qū)域,以尋找其它未采用智能方法的工具可能會(huì)忽視的漏洞。
Molnar表示,這套工具非常適合獨(dú)立開(kāi)發(fā)軟件、修改現(xiàn)成軟件或使用開(kāi)源產(chǎn)品許可證的企業(yè)。
微軟安全風(fēng)險(xiǎn)檢測(cè)團(tuán)隊(duì)負(fù)責(zé)人、微軟研究員David Molnar
DocuSign公司是一家?guī)椭脩粢噪娮臃绞蕉辉僖约埞P方式簽署文件的公司。他們參加了2016年秋季發(fā)布的Windows版風(fēng)險(xiǎn)檢測(cè)服務(wù)的小范圍試用。DocuSign軟件安全高級(jí)總監(jiān)John Heasman表示,這套工具幫助他們識(shí)別出了其它方式可能無(wú)法發(fā)現(xiàn)的潛在錯(cuò)誤。
他強(qiáng)調(diào)說(shuō),微軟這套工具幾乎從未給出“誤報(bào)”(即實(shí)際上并不構(gòu)成問(wèn)題的潛在錯(cuò)誤)。其實(shí)“誤報(bào)”本身也是業(yè)內(nèi)關(guān)注的問(wèn)題之一,因?yàn)榘踩珜<倚枰ㄙM(fèi)大量時(shí)間去排查“誤報(bào)”的漏洞,并且因此可能會(huì)漏掉真實(shí)存在的漏洞。
“這類解決方案很少有這么低的誤報(bào)率。”Heasman說(shuō)。
Heasman表示,DocuSign使用微軟安全風(fēng)險(xiǎn)檢測(cè)工具來(lái)查找已購(gòu)買(mǎi)或獲得許可的軟件中的錯(cuò)誤和漏洞,公司希望通過(guò)將這套工具整合到一款用于處理用戶上傳文檔的軟件中,來(lái)檢測(cè)文檔中可能包含的惡意內(nèi)容,并且可以主動(dòng)發(fā)現(xiàn)問(wèn)題、避免潛在的攻擊。
Molnar表示,事實(shí)證明微軟安全風(fēng)險(xiǎn)檢測(cè)工具能夠極大地幫助那些正在經(jīng)歷大規(guī)模數(shù)字化轉(zhuǎn)型的公司,以及幫助那些將新技術(shù)納入到以往純憑手工完成或僅使用初級(jí)技術(shù)的業(yè)務(wù)流程中。
他指出,這些公司的員工可能是各自核心業(yè)務(wù)領(lǐng)域內(nèi)的世界級(jí)專家——無(wú)論是釀造啤酒還是出售冰淇淋,但他們未必有專職人員對(duì)即將使用的新軟件進(jìn)行復(fù)雜的安全測(cè)試。
植根于微軟自己的安全測(cè)試
自本世紀(jì)前十幾年的中期以來(lái),微軟自身一直都在使用微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)中的一個(gè)關(guān)鍵組件——SAGE,它已用于檢測(cè)多個(gè)版本的Windows、Office和其他微軟產(chǎn)品中的錯(cuò)誤和漏洞。不僅如此,微軟多個(gè)產(chǎn)品團(tuán)隊(duì)目前也都在使用該風(fēng)險(xiǎn)檢測(cè)工具,并將其作為微軟安全開(kāi)發(fā)生命周期的一部分。
微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)捆綁了SAGE以及其他模糊檢測(cè)工具,擁有友好的用戶界面及其他工具,且目前在微軟Azure云中運(yùn)行。
微軟計(jì)劃于今年夏末通過(guò)微軟服務(wù)對(duì)這套工具定價(jià)出售。開(kāi)發(fā)者可以通過(guò)微軟安全風(fēng)險(xiǎn)檢測(cè)網(wǎng)站進(jìn)行注冊(cè),以了解有關(guān)Windows正式版以及Linux預(yù)覽版的更多信息。
