/ pix / VISHNU_KV / CC
ガードの人工知能
脆弱性クラウドソリューションは、Microsoft Security Risk Detectionサービスに基づいて開始されました。 以前はProject Springfieldとして知られていましたが、ファジングによって重大なソフトウェアセキュリティエラーを検出するために作成されました。 Microsoftはこのテクノロジを使用して、WindowsおよびOfficeの重大なエラーを検索しました。
2016年、Springfieldに加えて、このプロジェクトには 「100万あたりのバグ検出器」という非公式の名前も付けられました。 マイクロソフトが約100万ドルと推定される深刻な脆弱性を特定するのに役立ったと報告されており、現在、このアプリケーションはAzureプラットフォームでの大量リリースの準備をしています。
新しいクラウドサービスの作業は人工知能に基づいています。人工知能は、リリース前のソフトウェアのエラーを検索するために使用されます。 彼は、クライアントコードのストレステスト中に重大なエラーの可能性のある原因の数を絞り込むために、「what if」モデルに従ってシナリオを設計します。
AIサービスは、事前起動の前にプログラムの弱点を識別できるため、開発者は必要なパッチを準備し、攻撃が発生した場合に完全に武装することができます。
Microsoftの研究者であるDavid Molnarによると 、このツールは、ソフトウェアを作成したり、既製のソフトウェアを変更したり、オープンソースライセンスを提供したりする企業に適しています。
バグを検出するためのAIプラットフォームのトピックは、有望なテクノロジーに関する議論の中で積極的に「ポップアップ」します。 たとえば、2016年、米国国防総省高等研究計画局の研究員であるマイクウォーカーは、コンピューターセキュリティの将来に対するビジョンを発表しました。 Grand Cyber Challenge DARPAの結果は、彼の意見では、人工知能が自分でエラーを見つけて修正できることを証明しました。
問題の競争のファイナリストは、コンピュータセキュリティGrammaTechのソフトウェア開発者でした。 実際、テストでは、競合他社が利用できる脆弱性を探すためのアプリケーションを開発するチームが必要でした。
マインドフルネスのための25万
クラウドサービスの開始から1週間も経たないうちに、MicrosoftはWindows製品向けのバグ報奨金プログラムの拡大を発表しました。 報酬の額は、さまざまなソフトウェアのバグに対して500ドルから250,000ドルまでさまざまです。
同社は、Windows Insider Preview、Hyper-V、Windows Defender Application Guard、Microsoft Edgeなどの製品の脆弱性に注目することを提案しています。
Hyper-Vハードウェアイメージングシステムの脆弱性を発見した参加者は、最大250,000ドルの報酬を受け取る資格があります。 カスペルスキーは、今年、多くの重大な脆弱性について警告しました。 ただし、残念ながら、ロシアの企業や開発者はこのプログラムに参加できません 。
インセンティブプログラムは、Facebook、Google、Mozilla、Yandexなどの他のテクノロジー企業でも人気があります。たとえば、Yandexでバグを探す条件は次のとおりです。 この方法により、受賞歴のある多数の参加者を潜在的な脆弱性の検索に引き付けることができます。
人々はバグの特定につながることをいとわず、誰かにとってそれは有益なビジネスになります。 たとえば、あらゆる企業がハッカーを使用してセキュリティシステムに侵入できるようにする新興企業のHackerOneは、最初の4年間で市場で700万ドル以上を稼ぎ出しました 。
印象的な賞にもかかわらず、インセンティブプログラムは大企業にとって有益です。 見つかった脆弱性は、保護を強化し、サイバー攻撃による将来の損失を節約するのに役立ちます。
潜在的な損失といえば。 2016年のKaspersky Labのデータによると 、1つのインシデントで大企業は平均861,000ドルかかります。中小企業の場合、セキュリティの脆弱性は攻撃あたり86,500ドルです。
サイバー脅威による直接的な損失に加えて、脆弱性は予測できない負の結果をもたらす場合があります。 したがって、2016年、米国の規制当局は、サイバーセキュリティシステムの欠陥に対して 12の金融会社に1,440万ドルの罰金を科しました 。 そして、ヤフーは、ハッカー事件が公になったため、1億ドルの価値を失いました。
2013年、カリフォルニア大学の研究者が、バグを発見したことで独立したセキュリティ愛好家にボーナスを支払う方が、同じ仕事をする従業員を雇うよりも有益だと主張するレポートを発表しました。 このペーパーでは、GoogleとMozillaのChromeおよびFirefoxの脆弱性奨励プログラムを調査しました。 2010年から2013年の間に、Googleは見つかったエラーに対して580千ドル、Mozilla-570千ドルを支払いました。
明らかな利点に加えて、バグ報奨金は有能な従業員を見つけるのに役立ちます。 ラスベガスで開催された2017年7月のBlack Hat USA Cybersecurity Conferenceでのブリーフィングで、Salesforce は 2015年以降にバグを特定するために200万ドル以上を支払ったことを明らかにしました。 Salesforceプログラムの最も強力な参加者の1人は、アルゼンチンの16歳の学生でした。 彼の活動は会社で評価され、彼と彼の家族はSalesforceのセキュリティチームを支援するためにサンフランシスコに移りました。
人間または人工知能?
前述のように、大量生産製品になる前は、セキュリティリスクの検出はマイクロソフトの内部使用のためのツールでした。 それにもかかわらず、企業はクラウドソーシングに頼りました。 これは、人工知能がバグトラッカーの機能を果たすことができないことを意味しますか?
Microsoft David Molnar自身が、自動サービスの開発者に追加のアシスタントの役割を割り当てています。
セキュリティソフトウェアの開発者であるForAllSecureの共同設立者であるDavid Brumley氏は、コンピューターが人の交代に時間がかかると言います。 その理由は、サイバー犯罪者に固有の人工知能の欠如です。 プログラムはパターンに従って行動することができ、その過程で学習することもできますが、考えられるすべての脆弱性を特定するためには、ヒューマンファクター100%を考慮する必要があります。
セキュリティソリューション企業であるBromiumのCTOであるSimon Crosbyも同様のメッセージを持っています。 彼はHewlett Packard Enterpriseと次の考えを共有しました。「AIが実際にできることは、あらゆる種類のシステムから取得した膨大な量のデータを調べ、異常な動作を特定することです。分析の問題。」
職場のロボティクスの最近の人気のあるトピックは、サイバーセキュリティの問題を含め、人工知能が人間よりも効果的であると考えさせます。 そのため、トレーニング会社Udemy による最近の調査によると、43%のアメリカ人労働者はAIの開発により職を失うことを心配しています。 しかし、2021年までに、350万人のセキュリティ専門家が世界中で採用されると予測されています。 したがって、企業はこの分野での労働を放棄する準備がまだ整っていません。
何らかの方法で、ハッキング方法が改善されており、新しい形をとっています。 そのため、7月に、gSOAPとして知られる広く使用されているライブラリにセキュリティホールが発見されました。 監視カメラなどの数百万のIoTデバイスがリモート攻撃の標的になっています。 いくつかのレポートによると、gSOAPライブラリは100万回以上ダウンロードされています。 開発者コミュニティの積極的な参加は、このようなグローバルなセキュリティ問題のタイムリーな検出と排除において重要な役割を果たす必要があります。
PS情報セキュリティのトピックに関するブログのその他の資料: