图说:上图为简化的攻击者的工作流程图,攻击者会找出软件中的漏洞,然后对漏洞进行分类从而确定这些漏洞的可利用性,最后对可利用的漏洞进行操作,对目标进行攻击。
Tech Xplore 站近日刊文称,纽约大学的研究人员设计了一种新的 络防御技术,它通过添加所谓的“糠虫”漏洞——即不可被攻击者利用的漏洞——而非通过消除现有的软件漏洞来对 络进行防御。上周,他们的创新研究的预印版本被上传到ArXiv。
每天,越来越老练的攻击者都会在计算机软件中发现漏洞,评估其可利用性,并寻找能够利用这些漏洞的方法。大多数现有的防御技术都旨在通过消除、限制这些漏洞,或者增加其他缓解措施来加强防御。但是这种做法会让软件的开发变得更具挑战性。
“我们的项目是基于我们与麻省理工学院林肯实验室和东北大学合作在评估不同的发现软件漏洞的策略上所做的一些早期工作。”这项研究的研究人员之一Brendan Dolan-Gavitt告诉Tech Xplore 站。“为了做到这一点,我们建立了一个系统,可以将成千上万的错误放入一个程序中,这样我们就可以测量每个错误发现策略在检测我们的错误方面有多有效。”
在他们开发了这个系统之后,研究人员开始考虑它在提高软件安全性方面的可能应用。他们很快意识到,在攻击者通常如何发现和利用软件中的漏洞方面存在瓶颈。
Dolan – Gavitt解释:“要找出哪些漏洞是可以利用的,并开发出有效的利用,需要大量的时间和专业知识。因此,我们意识到,如果我们能够以某种方式确保我们添加的所有漏洞都不可开发,我们就能击败攻击者,将他们淹没在一片看起来诱人但最终无害的漏洞的海洋中。”
增加那些貌似可利用但实际上无法利用的漏洞可以迷惑攻击者,迫使他们将时间和精力浪费在寻找这些故意放置的漏洞上。研究人员称这种阻止攻击者的新方法为“糠虫”。Dolan – Gavitt说:“我们打算在开发人员开发软件时使用,让系统能够自动地增加干扰漏洞。”。“我们使用两种策略来确保增加的干扰漏洞是安全的:要么保证攻击者只能破坏程序未使用的数据,要么确保攻击者可以干扰的区域被限制在我们可以确定的安全范围内。”
虽然研究取得了可喜的成果,但要使这种方法切实可行,还需要克服一些挑战。最重要的是,研究人员需要想出一种方法,使这些不可开发的漏洞与真正的漏洞完全无法区分。Dolan – Gavitt说:“现在,我们添加的漏洞看起来很人工,所以攻击者在寻找可利用的漏洞时可以利用这个特点忽略我们制造的漏洞。”“目前的主要关注点是找到方法,让我们添加的漏洞看起来更像天然存在的漏洞,然后进行实验来证明攻击者真的被我们的‘糠虫’漏洞愚弄了。”
原文链接:
https://techxplore.com/news/2018-08-defensive-technique-software-buggier.html
中文内容仅供参考,一切内容以英文原版为准。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!