Вторая половина июля оказалась щедрой на новости от Microsoft о борьбе с багами. 21 июля стало известно о запуске облачной платформы для поиска уязвимостей, а 26 июля представители компании объявили о новом этапе поощрительной программы — корпорация готова выплачивать до $250 000 за найденные баги.
Искусственный интеллект на страже безопасности
Облачное решение по поиску уязвимостей было запущено на базе сервиса Microsoft Security Risk Detection. Ранее известный как Project Springfield, он создан для обнаружения критических ошибок в безопасности программного обеспечения методом фаззинга. Microsoft использовала эту технологию для поиска критических ошибок в Windows и Office.
В 2016 году, помимо Springfield, у проекта было и неофициальное название — «баг-детектор на миллион». Сообщалось, что он помог Microsoft выявить серьезные уязвимости, которые оценивались приблизительно в $1 млн. Сейчас приложение готовится к массовому релизу на платформе Azure.
В основе работы нового облачного сервиса лежит искусственный интеллект, который используется для поиска ошибок в программном обеспечении до его выпуска. Он проектирует сценарии по модели «что, если», дабы сузить число вероятных источников критических ошибок в ходе стресс-теста кода клиента.
AI-служба способна выявить слабые стороны программы перед предварительным запуском, чтобы разработчики смогли подготовить необходимые патчи и оказаться во всеоружии в случае атаки.
По словам исследователя из Microsoft Дэвида Молнара (David Molnar), этот инструмент подходит для компаний, которые сами создают программное обеспечение, модифицируют готовое ПО или предлагают лицензии с открытым исходным кодом.
Тема AI-платформ для выявления багов активно «всплывает» в дискуссиях о перспективных технологиях. Например, в 2016 году Майк Уокер (Mike Walker), научный сотрудник Управления перспективных исследовательских проектов Министерства обороны США, представил свое видение будущего компьютерной безопасности. Результаты конкурса Grand Cyber Challenge DARPA, по его мнению, доказали, что искусственный интеллект способен находить и исправлять ошибки самостоятельно.
Финалистом конкурса, о котором идет речь, стал разработчик программного обеспечения для компьютерной безопасности GrammaTech. По сути, испытание требовало от команд разработать приложение для поиска уязвимостей, которыми могли воспользоваться конкуренты.
Четверть миллиона за внимательность
Менее чем через неделю после показа своего облачного сервиса Microsoft анонсировали расширение программы поощрения за поиск уязвимостей (bug bounty) в продуктах для Windows. Сумма вознаграждений варьируется от $500 до $250 000 за баги в различных ПО.
Корпорация предлагает сосредоточиться на уязвимых местах таких продуктов, как Windows Insider Preview, Hyper-V, Windows Defender Application Guard и Microsoft Edge.
Претендовать на максимальную награду в $250 000 могут участники, обнаружившие уязвимости в системе аппаратной визуализации Hyper-V. О ряде серьезных уязвимостей Hyper-V в этом году предупреждала «Лаборатория Касперского». Однако, к сожалению, поучаствовать в этой программе российским компаниям и разработчикам не удастся.
Поощрительные программы пользуются популярностью и у других технологических компаний: Facebook, Google, Mozilla, Yandex и др. Например, вот условия охоты за ошибками в компании Yandex. Такая практика позволяет привлечь к поиску потенциальных уязвимостей большое количество замотивированных наградой участников.
Люди охотно подключаются к выявлению багов, и для кого-то это становится прибыльным занятием. Например, стартап HackerOne, позволяющий любой компании обратиться к услугам хакеров с целью взлома своей системы безопасности, за первые четыре года на рынке заработал более $7 млн. Среди клиентов HackerOne числятся Slack, Twitter, Yahoo и Uber.
Несмотря на внушительные премии, поощрительные программы выгодны для крупных компаний. Найденные уязвимости помогают им укрепить защиту и сэкономить на будущих потерях от кибератак.
Говоря о потенциальных потерях. По данным «Лаборатории Касперского» от 2016 года, в среднем один инцидент обходится крупному предприятию в $861 000. Малому же и среднему бизнесу уязвимость в безопасности встает в $86 500 за атаку.
Кроме прямых потерь от киберугроз, уязвимости порой имеют непредсказуемые негативные последствия. Так, американский регулятор оштрафовал в 2016 году 12 финансовых компаний на $14,4 млн за недостатки систем кибербезопасности. А компания Yahoo потеряла в цене $100 млн из-за ставших достоянием общественности инцидентов с хакерскими атаками.
В 2013 году был представлен доклад исследователей Калифорнийского университета, который утверждал, что выплата вознаграждений независимым энтузиастам в области безопасности за поиск багов выгоднее, чем наем сотрудников для выполнения той же работы. В документе были рассмотрены программы поощрения уязвимостей Google и Mozilla для браузеров Chrome и Firefox. В период с 2010 по 2013 год компания Google заплатила за найденные ошибки $580 тыс., а Mozilla — $570 тыс.
Кроме очевидной выгоды, bug bounty помогает находить талантливых сотрудников. Во время брифинга на июльской конференции по кибербезопасности Black Hat USA 2017 в Лас-Вегасе компания Salesforce раскрыла сведения о выплате более $2 млн за выявление багов с 2015 года. Одним из сильнейших участников программы Salesforce стал 16-летний студент из Аргентины. Его активность оценили в компании, и он вместе с семьей переехал в Сан-Франциско, чтобы помогать отделу безопасности Salesforce.
Человеческий или искусственный интеллект?
Как уже было сказано выше, прежде чем стать массовым продуктом Security Risk Detection являлся инструментом для внутреннего пользования Microsoft. Тем не менее наряду с ним корпорация прибегала к краудсорсингу. Значит ли это, что искусственный интеллект не способен исполнять функцию баг-трекера?
Сам Дэвид Молнар из Microsoft отводит автоматической службе роль дополнительного помощника разработчикам.
Дэвид Брамли (David Brumley), соучредитель ForAllSecure, разработчика ПО для обеспечения безопасности, уверяет, что компьютеру потребуется время, дабы заменить человека. Причина заключается в отсутствии у искусственного интеллекта творческого подхода, который свойственен киберпреступникам. Программа способна действовать по шаблону, даже обучаясь в процессе, но для выявления всех возможных уязвимостей ей следует на 100% учитывать человеческий фактор.
Похожую мысль высказывает и Саймон Кросби (Simon Crosby), технический директор компании Bromium, отвечающей за решения в области безопасности. Он поделился с Hewlett Packard Enterprise следующей мыслью: «Что AI действительно может делать, так это просматривать огромные объемы данных, которые мы получаем из всех видов систем, и выявлять аномальное поведение [...] Поэтому искусственный интеллект, как правило, приходится кстати в вопросах аналитики».
Популярная в последнее время тема роботизации рабочих мест вынуждает думать, что искусственный интеллект эффективнее человеческого, в том числе и в вопросе кибер-безопасности. Так, согласно недавнему опросу тренинговой компании Udemy, 43% американских рабочих обеспокоены тем, что потеряют работу из-за развития AI. Но по прогнозам, к 2021 году во всем мире будут наняты 3,5 млн профессионалов в области безопасности. Так что от человеческого труда в этой сфере корпорации пока отказаться не готовы.
Так или иначе, способы взлома совершенствуются и приобретают новые формы. Так, в июле была выявлена брешь в безопасности широко используемой библиотеки, известной как gSOAP. Миллионы IoT-устройств, например камеры видеонаблюдения, стали целью удаленных атак. По некоторым данным, библиотека gSOAP была загружена более миллиона раз. Активное участие сообщества разработчиков должно сыграть важную роль в своевременном обнаружении таких проблемных мест в области глобальной безопасности и их устранении.
P.S. Еще несколько материалов из нашего блога по теме ИБ:
- Немного о безопасности в «облаке»
- Как обезопасить Linux-систему: 10 советов
- Получение OV и EV сертификата — что нужно знать?
- Backup&Recovery: поточная и умная дедупликация, снапшоты и вторичное хранение
- Тренды облачной безопасности
Автор: 1cloud