Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz

El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.

Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.

‍

¿Dónde están los vectores de ataque típicos en el software de automoción?

Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.

Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:

Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.

‍

¿Qué tan grave es la situación de un vehículo comprometido?

Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.

Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.

En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.

La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.

La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.

‍

Los datos y las cifras de los torneos y las pruebas de entrenamiento

Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.

Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.

El perfil de desarrollador más común entre los participantes

‍

‍

Otros hallazgos importantes:

Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma

Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad

Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.

Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad

El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.

Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.

El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.

Retorno de la inversión del gasto actual en mejores prácticas de codificación segura

Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.

Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.

Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.

Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:

Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.

Retorno de la inversión

Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.

‍

Posibles ahorros anuales

‍

A veces puede resultar extremadamente abrumador enfrentarse al proyecto de un informe del SOC. Por eso, nos hemos asociado con algunos expertos del sector para explicarles algunos de sus mejores consejos a la hora de intentar obtener un informe sobre el SOC2.

Vea este seminario web para obtener información sobre:

• Aspecto de un informe
• Cuál es la diferencia entre el informe de tipo 1 y el informe de tipo 2
• Qué controles se necesitan
• Los mejores consejos para intentar obtener un informe del SOC 2
• Cómo entran en juego las prácticas de codificación en SOC 2

Las plataformas de aprendizaje para el desarrollo seguro (SDLP) ayudan a los desarrolladores a mejorar sus habilidades de seguridad del software mientras trabajan, independientemente de cuáles sean sus conocimientos de seguridad individuales. Ofrecen orientación integrada y acceso a materiales de aprendizaje basados en las necesidades de seguridad de los equipos de desarrolladores, el software en cuestión y sus vulnerabilidades y defectos conocidos. Los principales SDLP admiten varios lenguajes, marcos de programación y arquitecturas, cubren un catálogo amplio y actualizado de vulnerabilidades y proporcionan informes procesables y basados en los beneficios a los CISO y a los CIO.

Este breve documento está dirigido a los responsables de la toma de decisiones y a los compradores de tecnología que desean evaluar las plataformas de aprendizaje para el desarrollo de la seguridad.

¿Sus equipos de desarrollo consideran la formación en seguridad de las aplicaciones como un ejercicio de marcar casillas? ¿Le gustaría que se dedicaran más a la ciberseguridad e incluso que se hicieran cargo de ella? ¡En esta sesión se ofrecen consejos para crear un programa de formación en seguridad de aplicaciones en el que los desarrolladores acudirán a ti! Y puede lograrlo sin tener que desarrollar su formación desde cero. Únase a esta sesión para obtener algunos consejos prácticos sobre cómo crear una experiencia de capacitación en seguridad de aplicaciones sobresaliente.

Elementos clave:

• Cómo crear una historia atractiva para atraer a la audiencia\
• Tomar decisiones de compra frente a construir y decisiones opcionales frente a decisiones obligatorias
• Aplicación de los principios básicos de marketing a la formación
• Atraer a una comunidad de instructores

사이버 보안은 수많은 사이버 위협으로부터 기업, 나아가 고객을 보호하는 데 중요한 역할을 하지만, 다른 주요 이해관계자는 말할 것도 없고 최고 경영진에게도 사이버 보안 예산은 여전히 비용으로 간주될 수 있습니다. 반면에 일부 CISO는 동료 임원이나 이사회 구성원들의 이러한 인식을 불식시키기 위해 고군분투하고 있습니다.

현재의 경제적 역풍에도 불구하고 사이버 보안 예산을 보존하고 심지어 강화하는 데 도움이 되는 더 나은 접근 방식이 있습니다. 세계적인 수준의 CISO들은 이러한 상황에 대응하여 종합적인 보안 프로그램의 가치를 정당화하고, 전략과 팀을 지속적으로 투자할 가치가 있는 소중한 자산으로 성공적으로 포지셔닝하고 있습니다. 

완전히 새로워진 이 전략 가이드에서 배울 수 있습니다:

• 증가하는 사이버 위협으로부터 조직을 방어하는 데 있어 CISO가 직면한 현재 과제
• 회의실에서 대화를 바꾸고 더 큰 지지를 얻기 위한 4가지 방법
• 더 나은 보안 결과를 위해 비즈니스 목표를 사이버 보안 목표와 연계하는 방법. 

‍

El cumplimiento es el resultado de una buena seguridad, no al revés. Si los desarrolladores aprenden activamente los conceptos y los aplican a su trabajo diario, la seguridad crecerá de manera integral dentro de la cultura de la empresa.

Descubra cómo Netskope aprovechó la flexibilidad del contenido y el enfoque interactivo y práctico de aprendizaje de Secure Code Warrior para crear un enfoque programático de la seguridad impulsada por los desarrolladores y, al mismo tiempo, cumplir con los requisitos de cumplimiento de su sector.

Para dar inicio al mes de concientización sobre ciberseguridad, este seminario web cubrirá:

• Los principales impulsores empresariales de Netskope y cómo crearon un argumento empresarial a favor de SCW y un aprendizaje de código seguro y ágil
• Qué medidas se tomaron para poner en marcha el programa y cuáles eran sus objetivos
• Cómo asociarse con los desarrolladores y medir su compromiso como factor de éxito
• Cómo el programa Warrior de Netskope duplicó la participación en la formación de SCW en dos años