トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み 自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
업계 현황에 대해 조명해 봅시다.
업계 현황을
우리가 해결해야 할 즉각적인 문제
해결해야 할 당면 과제
그리고 수백 가지의
수백 개의 도전 과제
수백 개의 챌린지에서 얻은 실제 통계
코드 워리어 플랫폼에서 수행된 수백 개의 챌린지에서 얻은 실제 통계.
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか? 攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
→ 웹 인터페이스 및 모바일 API
익스플로잇 가능한 웹 애플리케이션과 API를 통해 공격자는 민감한 인증정보에 액세스할 수 있으며, 보안 설정 오류나 비즈니스 로직 취약점처럼 간단한 것만으로도 연결된 앱 내에서 심각한 개인정보 침해가 발생하거나 적어도 의도한 것보다 더 많은 정보가 소프트웨어 간에 전달될 수 있습니다.
→ 모바일 앱
→ 엔터테인먼트 시스템에 코드 삽입
무선 미디어 → 무선 미디어
→ 외부 센서 인터페이스
무선 키 입력 → 무선 키 입력
OBD-II 포트를 통한 외부 장치 액세스 → 외부 장치 액세스
→ 자동차 공급업체의 클라우드 서비스에 대한 공격
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか? ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。 しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字 これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
Tournaments 는
보안을 도입하는
보안 도입
표준을 도입하는
벤치마크
품질, 그리고
책임
방법을 배우기 위해
스쿼시 공통
보안 버그
코드에서
その他の重要な調査結果: グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア 参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察 ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率 SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
일반적인 취약점 무시
취약점을 무시하는 것은
가능한 순간까지 일반적인 취약점을 무시하는 것은 예산을 낭비하고
예산을 낭비하고 중요한 릴리스
날짜를 놓치게 됩니다. 왼쪽부터 시작하여
개발자에게 권한을 부여하여
수십 년 된 버그베어 제거
SQL 인젝션, XSS, 그리고
보안 설정 오류
비용은 말할 것도 없고
시간을 엄청나게 절약할 수 있습니다.
投資収益率 この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
%20(1).avif)