ASRGの車載ソフトウェア・セキュリティへの取り組み
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループは 、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置き、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場における新車技術の導入が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大する中で、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者の侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースへのブルートフォース攻撃などの攻撃に加え、甚大かつ致命的な結果を招く可能性があります。ASRGチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、すなわちトーナメント機能を試用しました。ASRGは、友好的なゲーム化された競争を通じて開発者を惹きつけ、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を喚起し、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、許容できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、様々な可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません(また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)。しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊富なエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアは数多く存在します。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が100%安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転…これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際には遠隔で引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「停止」させることに成功しました。高速道路を走行中、システムソフトウェアの既知のゼロデイ脆弱性を利用し、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できたのです。危険ではあるものの、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのいずれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRGは、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人々に利用されています。Secure Code Warrior 、世界中のASRG支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延するソフトウェアが直面する問題に直接関連するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでいるため、開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担がかかる可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントでは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で遭遇するような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に提供できます。
参加者の中で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 言語別セキュアコードスコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つも存在せず、平均精度スコアは67%でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ基準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードが、誰かの車両へのリモートアクセス制御につながる可能性がある場合、あるいはさらに悪い事態を招く可能性がある場合です。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千回ものトレーニングと何百もの課題を経験した結果、明らかになったのは、アクセス制御、機密データストレージ、そして最優先課題としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、他の多くのIoTデバイスでも悪用される可能性があることが知られています。
そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software Integrity Groupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、守ることに関しては、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会を得ることができました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間にわずかな脆弱性が特定された企業にとって、検出と修復にかかる潜在的なコストは膨大なものとなる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的な影響を示しています。
年間節約の可能性
この包括的なケーススタディでは、彼らがSecure Code Warriorのトーナメントを活用して開発者を惹きつけ、自動車ソフトウェアに影響を与える主要な脆弱性に対する認識を高め、複数の言語やフレームワークにまたがる指標を取得した方法を詳しく学びます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループは 、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置き、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場における新車技術の導入が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大する中で、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者の侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースへのブルートフォース攻撃などの攻撃に加え、甚大かつ致命的な結果を招く可能性があります。ASRGチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、すなわちトーナメント機能を試用しました。ASRGは、友好的なゲーム化された競争を通じて開発者を惹きつけ、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を喚起し、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、許容できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、様々な可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません(また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)。しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊富なエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアは数多く存在します。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が100%安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転…これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際には遠隔で引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「停止」させることに成功しました。高速道路を走行中、システムソフトウェアの既知のゼロデイ脆弱性を利用し、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できたのです。危険ではあるものの、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのいずれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRGは、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人々に利用されています。Secure Code Warrior 、世界中のASRG支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延するソフトウェアが直面する問題に直接関連するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでいるため、開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担がかかる可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントでは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で遭遇するような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に提供できます。
参加者の中で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 言語別セキュアコードスコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つも存在せず、平均精度スコアは67%でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ基準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードが、誰かの車両へのリモートアクセス制御につながる可能性がある場合、あるいはさらに悪い事態を招く可能性がある場合です。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千回ものトレーニングと何百もの課題を経験した結果、明らかになったのは、アクセス制御、機密データストレージ、そして最優先課題としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、他の多くのIoTデバイスでも悪用される可能性があることが知られています。
そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software Integrity Groupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、守ることに関しては、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会を得ることができました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間にわずかな脆弱性が特定された企業にとって、検出と修復にかかる潜在的なコストは膨大なものとなる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的な影響を示しています。
年間節約の可能性
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループは 、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置き、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場における新車技術の導入が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大する中で、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者の侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースへのブルートフォース攻撃などの攻撃に加え、甚大かつ致命的な結果を招く可能性があります。ASRGチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、すなわちトーナメント機能を試用しました。ASRGは、友好的なゲーム化された競争を通じて開発者を惹きつけ、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を喚起し、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、許容できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、様々な可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません(また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)。しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊富なエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアは数多く存在します。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が100%安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転…これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際には遠隔で引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「停止」させることに成功しました。高速道路を走行中、システムソフトウェアの既知のゼロデイ脆弱性を利用し、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できたのです。危険ではあるものの、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのいずれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRGは、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人々に利用されています。Secure Code Warrior 、世界中のASRG支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延するソフトウェアが直面する問題に直接関連するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでいるため、開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担がかかる可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントでは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で遭遇するような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に提供できます。
参加者の中で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 言語別セキュアコードスコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つも存在せず、平均精度スコアは67%でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ基準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードが、誰かの車両へのリモートアクセス制御につながる可能性がある場合、あるいはさらに悪い事態を招く可能性がある場合です。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千回ものトレーニングと何百もの課題を経験した結果、明らかになったのは、アクセス制御、機密データストレージ、そして最優先課題としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、他の多くのIoTデバイスでも悪用される可能性があることが知られています。
そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software Integrity Groupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、守ることに関しては、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会を得ることができました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間にわずかな脆弱性が特定された企業にとって、検出と修復にかかる潜在的なコストは膨大なものとなる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的な影響を示しています。
年間節約の可能性
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループは 、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置き、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場における新車技術の導入が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大する中で、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者の侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースへのブルートフォース攻撃などの攻撃に加え、甚大かつ致命的な結果を招く可能性があります。ASRGチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、すなわちトーナメント機能を試用しました。ASRGは、友好的なゲーム化された競争を通じて開発者を惹きつけ、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を喚起し、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、許容できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、様々な可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません(また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)。しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊富なエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアは数多く存在します。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が100%安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転…これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際には遠隔で引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「停止」させることに成功しました。高速道路を走行中、システムソフトウェアの既知のゼロデイ脆弱性を利用し、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できたのです。危険ではあるものの、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのいずれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRGは、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人々に利用されています。Secure Code Warrior 、世界中のASRG支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延するソフトウェアが直面する問題に直接関連するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー(およびその採用)は目まぐるしいペースで進んでいるため、開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担がかかる可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントでは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で遭遇するような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に提供できます。
参加者の中で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 言語別セキュアコードスコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント: 脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つも存在せず、平均精度スコアは67%でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ基準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードが、誰かの車両へのリモートアクセス制御につながる可能性がある場合、あるいはさらに悪い事態を招く可能性がある場合です。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千回ものトレーニングと何百もの課題を経験した結果、明らかになったのは、アクセス制御、機密データストレージ、そして最優先課題としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、他の多くのIoTデバイスでも悪用される可能性があることが知られています。
そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software Integrity Groupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、守ることに関しては、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会を得ることができました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間にわずかな脆弱性が特定された企業にとって、検出と修復にかかる潜在的なコストは膨大なものとなる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的な影響を示しています。
年間節約の可能性
%20(1).avif)
.avif)
