ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Sehen Sie sich diese umfassende Fallstudie an, um mehr darüber zu erfahren, wie das Unternehmen die Turniere von Secure Code Warrior genutzt hat, um Entwickler einzubeziehen, das Bewusstsein für wichtige Sicherheitslücken in Automobilsoftware zu schärfen und Kennzahlen für mehrere Sprachen und Frameworks zu gewinnen.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Secure Code Warrior の試用に興味があるが、まだアカウントをお持ちでないですか?今すぐ無料トライアルアカウントにサインアップして始めましょう。
今すぐ試すTournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
%20(1).avif)
.avif)
