人工智能和内存安全是物联网安全的真正威胁
在英国伦敦举行的物联网安全基金会年会上,Arm 研究员 Richard Grisenthwaite 在开幕致辞中提醒观众今天物联网安全的关键问题之一:他说,“70% 的常见漏洞和暴露 (CVE)与记忆有关。” 他补充说,这在未来将成为一个更大的问题,因为人工智能将向不良行为者展示这些漏洞所在,从而更快地将系统置于危险之中。
物联网安全基金会 (IoTSF) 董事总经理兼联合创始人 John Moor 在开幕致辞中强调了这一点,他表示内存安全是一个真正需要解决的“问题”。格里森斯韦特补充说,随着人工智能越来越多,我们必须更加安全。他说,ML机器学习设备只需翻阅数百万行代码即可找到 CVE 并进行攻击。“因此,我们需要使用内存标记扩展MTE等工具来提高内存安全性,降低软件开发复杂性,同时提高安全性,”Grisenthwaite 说。
本周会议的主题是“人工智能时代的物联网安全”,Moor 强调了安全领域的关键主题和趋势:首先是“设计”,包括内存安全、零信任和安全等方面。后量子技术;第二个关键主题是“运营弹性”,本质上包括持续保证和SBoM软件物料清单;第三个主题是人工智能。此外,摩尔强调,虽然许多人都在谈论零信任,但它是行业仍需要接受的一个概念。
全球消费者物联网漏洞
Moor还在会议上发布了IoTSF的最新报告《2023年全球消费者物联网漏洞披露政策VDP使用状况》。该报告是一系列报告中的第六份报告,该系列报告一直跟踪流行互联网连接设备制造商采用漏洞披露和相关做法。
各国政府越来越意识到漏洞披露的重要性,特别是协调漏洞披露CVD,并在世界各地认可和推荐。英国的产品安全和电信基础设施 (PSTI) 法案第 1 部分重点关注消费者物联网产品安全,强制要求使用 CVD。该法规将于 2024 年4月 29 日生效。在欧盟,《网络弹性法案》(CRA) 正在欧盟议会进入最后阶段,美国的各种网络安全建议建议或强制执行 CVD,NIST 已制定了政策使用标准。
今年报告中的研究添加了 121 家新的热门设备制造商,其中超过 95% 的制造商没有漏洞披露政策。总体而言,这个带有策略的扩展数据集的百分比较 2022 年的 27.11% 略有下降,到 2023 年为 23.99%。这意味着 2023 年数据集中 76.01% 的物联网制造商没有办法让安全研究人员联系到他们。这意味着 76% 的研究并包含在报告附件中公司将违反法规。
数据集的扩大捕获了更多物联网的“长尾”,这似乎更加不安全。数据每年都会审核一次,公司通常会从数据集中丢失;今年有七家公司不再运营或停止销售物联网设备。通过单独查看 2022 年的数据集,可以观察到先前存在的持续趋势,拥有安全研究人员联络点的公司比例增加至 31.08%。
主动网络防御
IoTSF 会议的另一个主题演讲进一步探讨了物联网安全中的人工智能概念,讨论了自主网络防御;艾伦图灵研究所新兴技术与安全中心 (CETaS) 的研究员 Anna Knack 概述了该领域的研究。她提供了报告“自主网络防御——从实验室到运营的路线图”中涵盖的一些领域,该报告由乔治城大学安全与新兴技术中心 (CSET) 和艾伦图灵研究所的 CETaS 联合制作。
它着眼于当前自主网络防御的最先进水平及其未来潜力,确定进步的障碍,并建议可以采取的具体行动来克服这些障碍。研究结果和讨论与参与开发自主网络防御能力的网络安全从业者、政策制定者和研究人员相关。
该研究的基础是基于强化学习RL的人工智能代理提供实现部分或全部自主网络防御概念所需的自主能力的潜力。虽然与自主网络防御相关的有前景的相关建模方法、技巧和技术的广度很大,但研究人员对强化学习的关注是受到网络防御应用强化学习方面不断加大的努力以及他们所说的强化学习所取得的有希望的结果所引导。在其他问题领域取得的成就。
纳克在演讲中强调,这仍处于早期研究阶段,距离实现还需要数年时间。但她强调了这些防御剂的潜在概念,以及人类监督这些自主系统的必要性。她提出了这样的问题:“人机协作会是什么样子,我们将如何确定适当的可信度水平?” 她还强调,技能供不应求。她特别表示,“目前没有网络人工智能专家。”