ASRGの車載ソフトウェア・セキュリティへの取り組み
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
この包括的なケーススタディでは、彼らがどのようにSecure Code Warriorのトーナメントを活用して開発者を引き付け、自動車ソフトウェアに影響を与える主要な脆弱性に対する認識を高め、複数の言語やフレームワークにわたる指標を取得したかについて詳しく学んでください。
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
%20(1).avif)
.avif)
