要是有個(gè)現(xiàn)成的系統(tǒng),可以自動(dòng)檢測軟件中所有的安全漏洞,而且還能自動(dòng)修復(fù)漏洞,聽起來是不是很不現(xiàn)實(shí)?但最近真的出現(xiàn)了這樣的系統(tǒng),下面就一起來看一下吧。
自動(dòng)檢測發(fā)現(xiàn)系統(tǒng)漏洞
像之前曾出現(xiàn)的Heartbleed、POODLE、GHOST等漏洞,存在那么長的時(shí)間都沒有被人類發(fā)現(xiàn),到補(bǔ)丁發(fā)布的時(shí)候已經(jīng)產(chǎn)生了大面積的影響,這說明人類發(fā)現(xiàn)和修復(fù)漏洞的速度那實(shí)在是相當(dāng)?shù)穆?,那么如何解決這些問題呢?
美國五角大樓的研究部門DARPA,打算打造一套智能AI系統(tǒng)。在DARPA的設(shè)想中,這套系統(tǒng)以后能夠自動(dòng)檢測甚至修復(fù)漏洞。如果這個(gè)計(jì)劃能夠成功,對(duì)互聯(lián)網(wǎng)安全而言無疑也具備革命性意義。
為此DARPA打算舉辦Cyber Grand Challenge挑戰(zhàn)賽,預(yù)計(jì)會(huì)在下個(gè)月的DEF CON黑客大會(huì)上進(jìn)行。DARPA已經(jīng)選出了7支參賽隊(duì)伍,他們在比賽中要做的就是做好防護(hù)工作,找出存在的漏洞——但前提是不進(jìn)行任何人工干預(yù)。
他們要做的其實(shí)是構(gòu)建一套智能化的系統(tǒng),不僅要檢測漏洞,還要能自動(dòng)寫補(bǔ)丁、并且完成部署。獲勝的隊(duì)伍會(huì)得到200萬美元獎(jiǎng)金。
DARPA項(xiàng)目主管Mike Walker表示:
這次Cyber Grand Challenge挑戰(zhàn)賽將自動(dòng)化帶入到了網(wǎng)絡(luò)安全領(lǐng)域。我們希望看到的,就是整個(gè)安全生命周期都能夠?qū)崿F(xiàn)自動(dòng)化。
他還說,現(xiàn)在的軟件漏洞平均發(fā)現(xiàn)周期長達(dá)312天——在這段時(shí)間里,攻擊者很有可能已經(jīng)利用這個(gè)漏洞發(fā)起網(wǎng)絡(luò)攻擊。而且人們在發(fā)現(xiàn)漏洞以后,還需要對(duì)漏洞進(jìn)行研究、開發(fā)補(bǔ)丁程序,到最后公布,這個(gè)過程也需要一定時(shí)間。
Cyber Grand Challenger挑戰(zhàn)賽的宗旨就是要解決這一問題:打造一個(gè)全新的系統(tǒng),可以在幾分鐘,甚至幾秒的時(shí)間里,發(fā)現(xiàn)并修復(fù)漏洞,整個(gè)過程是完全自動(dòng)化的。
比賽結(jié)束后將會(huì)提供源碼下載
值得一提的是,這次進(jìn)入決賽的7支隊(duì)伍要用到的設(shè)備,將是采用Intel至強(qiáng)1000核處理器、16TB RAM(注意是TB)的計(jì)算機(jī)。這些設(shè)備中有個(gè)“cyber reasoning system(網(wǎng)絡(luò)推理系統(tǒng)?)”,每支隊(duì)伍需要基于這套系統(tǒng)進(jìn)行設(shè)計(jì)編程,最終目標(biāo)就是上面提到的在沒有人工干預(yù)的情況下就檢測和修復(fù)漏洞。
挑戰(zhàn)賽一旦開始,參賽隊(duì)伍就不允許再敲擊鍵盤了,也不能再進(jìn)行其他操作。能查找漏洞、預(yù)測潛在風(fēng)險(xiǎn)、修復(fù)檢測到的漏洞,就能得分;如果系統(tǒng)無法抵御模擬攻擊就會(huì)丟分。
這場比賽將會(huì)在拉斯維加斯巴黎大酒店舉行,日期初步定于8月4日下午5點(diǎn)。這場比賽大約會(huì)持續(xù)超過10個(gè)小時(shí)。冠軍將會(huì)贏得200萬美元,亞軍將獲得100萬美元,季軍將獲得75萬美元。比賽結(jié)束后,所有測試項(xiàng)目代碼都會(huì)公開,并提供下載。