2021年7月时,安全419曾拜访了极光无限,当时我们的藏青还曾对该公司的创始人风宁进行了采访。截至目前,极光无限主要有两款主打产品,分别是AI自动化渗透测试平台——极光猎手以及AI自动化漏洞挖掘系统——维阵。作为国内在利用AI做安全这一领域中非常有特色的厂商,这两款产品也引起了我们浓厚的兴趣,所以今次特别邀约到极光无限的漏洞团队负责人——仙果,看看这两款产品的研发背景、实际能力以及同其他部分技术理念之间的一些不同。
诞生源于真实的安全需求 极光猎手用三步实现AI自动化渗透测试
据仙果介绍,极光猎手的诞生是源于用户的真实需求。
彼时,位居国有四大行之一的某银行有一个非常具体和切实的需求——它的业务分布于全球100余个国家,其包括设备、应用、服务等等在内的网络资产总量保守估计超过了120万个之多,据了解,该银行自身也做过评估,即使抽调3000人甚至是5000人的相关人员规模去做安全检测,也同样要耗费很长时间,无论从人力、时间以及成本等多方面衡量都是难以接受,但是这件事又不得不做。于是,如何能够成本较低且快速的完成安全检测就成为摆在桌面上的一道难题。
面对这个难题,极光无限创始人——风宁提出了具备分布式检测能力的产品原型,并以它为基础研发了极光猎手。
那么何为分布式检测?仙果在这里也特别向我们作了介绍。首先,分布式检测,顾名思义,每一个需要检测的设备、应用等就是一个检测点,而极光猎手用于检测的Agent则可以支持分布式部署,也就是多点部署。其次是待检测资产的检测任务下发也同样是分布式的,极光猎手可以分阶段去做检测任务的切片,然后不同的Agent会执行不同的检测任务,比如有支持域名探测的Agent、有支持针对弱口令探测的Agent、有针对Web应用探测的Agent等等。
除了通过分布式检测这一特点来满足客户的痛点需求之外,仙果还告诉了我们另一个直接的需求——随着当前互联网的不断发展,业务规模的不断扩大,企业的IT资产也在不断地增长,在这个过程中也会产生大量的影子资产,但同时这些资产也是企业的IT资产,因而就会产生两个严重的问题,一个是资产数量不清晰,二是由此带来了一些资产暴露的高风险,从而给网络攻击者创造了机会。
从资产管理的角度来看,一旦出现严重的安全问题,那么后续的排查成本普遍较高,尤其是排查周期也较长,如此一来就会直接影响到企业的业务运转。因此,如何第一时间发现安全隐患,然后消除风险点,保障信息系统的安全稳定,是目前我们的客户,还有包括企事业单位非常关注的安全问题。
另外从攻防对抗的角度来说,目前也存在着人才短缺的现状,比如有技术能力渗透测试人员稀缺,而且渗透测试人员的培养不仅难度较大,周期较长,而且当前相关人员培养的教育、课程体系都比较欠缺,导致普遍缺乏系统化的渗透测试人才培养。
与此同时,渗透测试过程中,信息的采集和分析耗时较长,人力投入也较多,因而需要资深的渗透测试人员进行长周期的投入,才有可能会有一些相对较好的成果。
针对上述这些问题,极光猎手借助AI力量实现了自动化渗透测试,有效缓解甚至解决上述难题:
第一步是将高级渗透测试人员的渗透手法和技术能力转换成为标准化、工程化的工具能力。
第二步则是将上一步的工作进而转换为极光猎手的产品能力。
第三步就是运用猎手产品功能去模拟渗透测试人员,以AI的方式用多种方法攻击同一个目标,并在这个过程中找出AI攻击与攻击者攻击之间的差异,随后通过不断地优化和改进以进一步提升AI的渗透测试的实际能力。
据介绍,目前极光猎手产品在实际应用中早已取得不错的成绩,实际的攻防对抗中梳理和发现多个关键网络基础设施安全问题,其检测能力由此可见一斑。
相比众测有着更灵活的检测方式
既然是AI自动化漏洞挖掘的工具化产品,自然躲不开要去同另外一种以安全研究员为代表的人类群体去做对比,那么极光猎手同众测平台之间有什么样的相同及差异呢?
仙果告诉我们,众测这一方式主要是通过任务的形式来派发检测任务,比如每季度、每半年,或者是特殊的时间段,如产品上线前等,总而言之,通过众测来执行检测任务一定是集中在某一个时间段的。
相比之下,极光猎手可以每月、每周甚至是每天来执行检测任务,同时也可以自行定制在某一个时间段去检测,在操作性上会更加灵活,也可以持续保持长时间对某个安全问题的跟踪和排查。
另外,极光猎手在发现安全风险之后可配置通过告警的方式提醒用户,不触发进一步渗透测试策略,所以极光猎手可频次很高的执行检测任务,仍不会对业务的运行造成较大影响。
插上AI之翼的维阵——可面向所有用户的自动化漏洞挖掘系统
谈到维阵的产品诞生,仙果表示,产品同样也是来自于用户群体中长期存在的真实需求,具体而言主要有两点:
1、一直以来存在着在没有源代码和相应的开发文档情况下,我们如何去发现安全问题?
2、基于源代码的安全检测做完后,产品发布前是否还会有其他的安全问题存在,包括编译器引入的这种安全问题是否能够检测?
“除了上面这两点之外,还有一个非常关键的因素,就是随着AI技术的不断发展,我们应将AI所拥有的大规模计算能力、机器学习能力引入到网络安全领域,尤其是在漏洞挖掘和安全检测方面”
基于这些需求,极光无限决定开始设计和开发“维阵”产品——一套智能化的漏洞挖掘系统。
绝不是非此即彼 维阵与DevSecOps工具之间的不同
可能不少人会想到另外一款针对于源代码的自动化安全理念——DevSecOps,那么维阵同IAST、SAST这样的自动化工具相比有什么样的区别呢?
说到这里,仙果首先强调了一点,那就是维阵智能化的漏洞挖掘系统与IAST、SAST这种DevSecOps工具在本质上并不冲突,后者更强调是介入源码检测和安全路径发现,以及源码在编译阶段过程中是否存在安全问题或安全隐患。
谈到区别方面,仙果表示这两者之间主要还是体现在源码关联性方面,IAST等工具与源代码之间是强关联的,而维阵尽管也支持基于源码的漏洞挖掘和发现、安全检测,但并不强调源代码为检测任务的必需前提。
而之所以能够实现这一点,则是维阵的主要优势所在——对二进制文件做汇编层面的反编译工作,提取二进制文件汇编执行流、函数执行流的特征,把这些特征统一归类,然后通过机器学习并用图神经网络对漏洞特征进行模糊匹配,进而得出同某真正漏洞之间的一个置信度(类似于相似度),如置信度越高,那么我们认为他存在漏洞的可能性就越高。“如果置信度为1,那么我们就会认为它是100%存在安全问题的。”仙果说道。
说到二进制漏洞,我们会发现极光无限这家公司对此是非常看重,其产品能力也着重于强调这一点,并表示通过二进制文件进行漏洞挖掘难度会明显更高。
仙果说道,二进制漏洞挖掘的主要对象是应用软件、操作系统,也包括Apache这种软件的框架服务,二进制漏洞的存在可能会导致它们在处理包括网络数据、本地文件等工作时,在处理某个特定的数据时被触发,在汇编层面造成内存破坏。一旦攻击者利用这一点去劫持应用的执行流进行恶意操作,无论是下载一个恶意程序还是执行一段恶意代码,甚至是植入蠕虫病毒、勒索病毒,那么就有极大的安全隐患。他在这里还特别强调:“通过二进制漏洞引发的安全问题一旦爆发,不仅会令正常业务运行受到影响,而且后续影响面非常广,最典型的例子就是前几年爆发的“永恒之蓝”漏洞,由它影响的设备、应用或服务在全球来看至少百万级以上。”
在交流当中,仙果很明确地表达了自己的观点——DevSecOps相关工具与维阵这款产品之间并不是一个二选一的事情,更不是非此即彼的。对于软件的安全检测应贯穿于产品的整个生命周期,仙果告诉我们,源码检测是产品开发中必不可少的,而且也是维阵产品在下一个阶段会重点关注的一个方向,也不排除会引入IAST或SAST等检测方案。
二进制漏洞影响如此之巨 但与之对应挖掘能力却受人才制约
漏洞所引发的安全问题在危害性方面是巨大的,因此如何有效挖掘安全隐患是安全工作中的重中之重,与此同时,仙果告诉我们,二进制漏洞的挖掘难度相比其他漏洞要更高。
笔者在这里查阅了一些二进制漏洞的相关资料,发现其背后长期存在的一个普遍问题就是能够挖掘二进制漏洞人才极为短缺,那么二进制漏洞的挖掘到底有多难?那么多白帽子为何面对二进制漏洞就会畏难而退?
谈到这个问题,仙果表示,针对二进制漏洞方面的软件安全人员要求是非常高的,主要在于以下三点:
一是需要相关的安全研究人员必须具备一定的编程开发经验,特别是针对C、C++等语言的开发经验,他才可以从更高层面去理解和掌握程序的执行逻辑,这是挖掘二进制漏洞的基础。
二是在做分析和调试的时候,作为安全研究人员,它一定要掌握汇编语言,理解CPU的执行流程,需要具备一定的逆向工程能力。
三是需要相关的安全研究人员必须掌握漏洞利用能力,尤其是不同的漏洞所对应的不同的利用方法和技巧。
随后仙果还补充道:“除了上述三点之外,无论是PC端还是移动端,或是Mac端,这些所有的平台都要掌握,对安全人员的能力要求可以说是非常高的。”
因此,二进制漏洞相关人才培养的难度是可想而知的,由此所引发的人才短缺问题在短时间内也无法解决,极光无限选择通过“维阵”利用AI能力实现自动化的二进制漏洞挖掘功能相信一定会有大施拳脚的空间。
关于维阵的能力方面,仙果非常自信,“维阵产品的基础——漏洞特征库是由极光无限位于苏州和莫斯科两地的专家团队不断完善和丰富的,尤其是莫斯科方面的外籍专家在AI领域的技术能力有效提升了维阵计算能力,使得漏洞检出率不断增强。到了用户层面,已经可以不需要去关心自身是否具备安全团队,只需要借助维阵的安全能力,无论是在漏洞发现还是在漏洞修复方面,都可以自动化的解决很大一部分安全问题。这样一来,企业只需对产品研发人员做一套基础的安全开发规范,就可以快速的提高针对产品和软件的安全性。”
企业、白帽皆用户 用AI的力量推动整体网络安全提升
维阵自身具备不俗的自动化漏洞挖掘能力,在一定程度上弥补了企业在相关安全建设上的人才缺口,因此其具有一定的普适性,仙果告诉我们,维阵的用户群体非常的广泛,不仅是缺少安全人员的中小企业还是安全人员相对较为充足的大企业,甚至是自身就是安全研究人员的白帽子等等都是维阵的目标用户。
对于白帽子用户这一点引起了我们的兴趣,这是否意味着白帽子可以通过维阵这种借助AI赋能的自动化工具去发现漏洞并获取白帽社区的赏金呢?
“对于白帽子通过维阵产品发现安全漏洞,以及通过提交漏洞去获取奖励这件事情,我们是非常欢迎的。”仙果明确的回答道,“事实上,我们维阵产品的专家团队会陆续推出基于维阵产品进行漏洞挖掘和安全检测的视频教程,并拿出来分享给所有的用户。”
仙果表示,维阵的诞生除了满足用户需求之外,也是希望能够借助AI的力量,推动整体网络安全水平的提升。因此,对于白帽子这一有专业技术能力的用户群体,极光无限是非常欢迎他们可以成为维阵的用户并通过它去发现安全漏洞的。
正如此前我们采访极光无限的创始人——风宁所说的那样,“极光无限的使命是,在这些漏洞产生危害之前,早攻击者一步发现软件以及应用自身的安全漏洞,协助用户发现这些可以提前感知的风险,真正提升自身的安全水平。”
我们也期待极光无限在不断地产品迭代过程中,进一步提升极光猎手、维阵等自动化漏洞发现与渗透测试产品的安全能力,进而为更多的客户提供更为出众的安全产品和服务,切实解决用户在安全建设方面的痛点需求,以更好地应对当前复杂环境下所面临的诸多安全挑战。