Tournament トルクASRGが推進する自動車ソフトウェア・セキュリティ
オートモーティブ・セキュリティ研究 会は、自動車業界におけるセキュリティに対する認識を高め、その発展を支援することを目的とした非営利団体であり、自動車製品をより安全でセキュアなものにするソリューションの発見と普及に重点を置いている。現在、この業界は変化しつつあり、コネクテッドカー、自律走行車、シェアードカー、電動化車両、ソフトウエア定義型車両へと、次の革命を遂げようとしています。自動車やエコシステム・アプリケーションを動かすソフトウェアへの依存度が非常に高まる中、ASRGのような組織は、自動車業界におけるソフトウェア・セキュリティに注目し、それを維持する上で重要な役割を果たしています。
このような認識、そして最も重要なことは、メーカーがそれに基づいて行動することである。潜在的な攻撃ベクトルとサイバーリスクは、消費者市場における新しい自動車技術の採用の増加に伴って拡大するため、極めて重要である。FBIは最近、米国の自動車業界を標的とする攻撃者について警告しており、侵害の大部分は暗号化されていない機密データの結果であるという。これは、設定不十分なデータベースを強引に突破するような攻撃に加えて、致命的な結果をもたらす可能性のある巨大なものである。ASRGのチームは、自動車製品のソフトウェア・セキュリティ基準の策定と維持を支援するソリューションとツールの研究の一環として、Secure Code Warriorのプラットフォーム、すなわちTournaments 機能を試用した。ASRGは、ゲーム化されたフレンドリーな競争を通じて開発者の関心を高め、セキュリティに対する意識を向上させ、セキュアなコーディングスキルを磨くことを目的として、Secure Code Warrior 、開発者のセキュリティに対する関心を喚起し、自動車用ソフトウェアに影響を及ぼす一般的な脆弱性を阻止するスキルを習得させ、許容できないリスクへの門戸を開く方法を検討した。
業界の現状に光を当てよう
業界の現状に光を当てよう、
当面の課題
私たちが取り組まなければならない
そして
何百ものチャレンジ
セキュア
コード・ウォーリアー・プラットフォーム
自動車ソフトウェアにおける典型的な攻撃ベクトルはどこにあるのか?
攻撃者が自動車用ソフトウェアにアクセスする潜在的な手段を分析すると、以下のように多くの可能性がある。 アロットの包括的なレポート
どんなにセキュリティに気を配っていても、開発者がそれらすべてを防御することはできない(また、期待されるべきでもない-AppSecのスペシャリストが存在するのには理由がある!)が、経験豊富なエンジニアであれば、深刻な問題になる前にコードの中で閉じることができる一般的なバックドアはたくさんある:
→ ウェブインターフェースとモバイルAPI
悪用可能なウェブアプリケーションやAPIは、攻撃者が機密性の高い認証情報にアクセスすることを可能にし、セキュリティの設定ミスやビジネスロジックの脆弱性のような単純なものが、接続されたアプリケーション内で重大なプライバシー侵害(少なくとも、意図された以上の情報がソフトウェア間でやり取りされること)につながる可能性があります。
→ モバイルアプリ
私たちの多くは、車載インターフェイスを介した現代の便利なカー・コネクティビティを享受している。しかし、ラジオのような単純なものであっても、脆弱性によって意図しないアクセスが行われれば、悪意のある攻撃を受ける可能性がある。リモート・ファイル・インクルージョンは、車載マルチメディア・アプリ全体でマルウェアを再生することを可能にする。
→ エンターテインメント・システムにおけるコード・インジェクション
悪用可能なシステムでは、攻撃者がマルチメディアファイルを作成し、その中のコードを変更できる可能性がある。これにより、コネクテッドカーの他の部分を悪用したり、遠隔監視したりする道が開かれる。
→ ワイヤレス・メディア
脅威者は、BluetoothやWi-Fiのような無線チャネルの脆弱性を攻撃し、管理者権限をバイパスすることができる。
→ 外部センサー・インターフェース
脅威者は外部センサーを偽装し、車両に望ましくない行動を取らせることができる。
→ ワイヤレス・キー・エントリー
脆弱なアプリは、ワイヤレス・キー・エントリーを悪用するために使用される可能性がある。攻撃者は、キーと自動車の間のプロキシ・ブリッジを使用することができ、自動車のロックやオープンを自由に行うことができる。これはすでにいくつかの自動車への攻撃で証明されている。
→ OBD-IIポートからの外部機器アクセス
車両内部システムへのアクセスの可能性。
→ 自動車プロバイダーのクラウドサービスに対する攻撃
脆弱なクラウドインフラストラクチャは、たとえ設定ミスのような単純なものであっても、脅威行為者が一度に多くのコネクテッドカーを攻撃することを可能にする可能性がある。
経験豊富なエンジニアであれば、深刻な問題になる前にコード内で閉じることができる一般的なバックドアがたくさんある。
危険な車の状況はどれほど深刻なのか?
ほとんどの自動車が100%安全なわけではなく、使用する際には危険な要素が伴うことは、一般人にとってごく当たり前のことである。自動車の故障、事故、飲酒運転......これらはすべて、道路利用者にとって致命的な結果をもたらす可能性がある。
しかし、その壊滅的な車両の故障が、実は特に悪質なサイバー攻撃の結果、遠隔操作で引き起こされたとしたらどうだろう?世界がサイバーセキュリティに真剣に取り組むようになるのは、生命を脅かすような事態が発生してからだと言われて久しいが、現実はすでにその領域に入りつつあり、介入がなければ、ここからさらにエスカレートしていくだろう。
2015年、セキュリティ研究者たちは、高速道路を走行中のジープ・チェロキーのエンジンを "殺す "ことに成功した。システム・ソフトウェアの既知のゼロデイ・エクスプロイトを使って、彼らはエアコン、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御することができた。危険ではあったが、これは封じ込められた実験であり、攻撃者が車両とその乗員を致命的にコントロールできることを証明した。この出来事以来、何百万台ものコネクテッド・ビークルが道路を走っており、それぞれが何百万行ものコードに相当し、安全性を確保しなければならない。
自律走行車技術(およびその採用)は急速なスピードで進んでおり、その結果、その開発者、特に明日の利便性を支えるコードの出荷を担当するチームに多大な負担がかかる可能性がある。自動車業界のソフトウェア開発者は、セキュリティに対する責任を共有することが急務であり、ASRGは、最新のセキュリティ知識、ツール、同業者による推奨、サポートについて、多くの人が頼りにしているコミュニティのハブである。ASRG は、最新のセキュリティ知識、ツール、仲間からの推奨、サポートなど、多くの人々が頼りにしているコミュニティハブです。グローバルSecure Code Warrior tournament は、世界中の ASRG チャプターを代表する 100 人以上の開発者を参加させ、評価し、鼓舞することを目的としています。切磋琢磨とトレーニングに参加し、各業界で普及しているソフトウェアが直面する問題に直接関連するセキュアコーディングの課題を解決しようとした。
自律走行車の技術(とその採用)は、急速に進歩しており、その結果、その製作者、特に明日の便利さを支えるコードの出荷を担当するチームに多大な負担がかかる可能性がある。
tournament とトレーニング・トライアルからの事実と数字
これは、トレーニングや教育におけるゲーミフィケーション技術の副産物として非常に有益である、エンゲージメントの高さとプレイし続けたいという欲求の表れである。
トレーニングやtournaments は、個々の開発者が希望する言語やフレームワークでプレイすることができ、日々の業務で遭遇するような実世界のコードを使用し、関連性の高い課題を確実に提供します。学習へのこの文脈に沿った、一口サイズのアプローチは、組織の SDLC で最も一般的な問題を解決するために最も重要なコンテンツの迅速な提供を保証します。
参加者の中で最も一般的な開発者プロファイル
Tournaments は
セキュリティ導入の
セキュリティ
のベンチマークである
品質の
を導入する絶好の方法である。
責任
を学ぶ責任がある。
一般的な
セキュリティ・バグ
コードの
その他の重要な発見
グローバルASRG仮想セキュアコーディングTournament: 言語ごとのセキュアコードスコア
Global ASRG Virtual Secure CodingTournament: 脆弱性ごとのセキュア・コード・スコア
参加者全員が、選択した言語とフレームワークについてある程度の習熟度を示したが、「100%安全」と判断された、あるいは習得したと判断された脆弱性領域はひとつもなく、平均的な正確さのスコアは67%だった。開発者がセキュリティの専門家になることを期待する必要はないが、tournaments 、セキュリティの基準、品質の基準、コードによくあるセキュリティ・バグをつぶす方法を学ぶ責任を導入する素晴らしい方法だ。特に、そのコードが誰かの車のリモート・アクセス・コントロールにつながる可能性がある場合、あるいはもっと悪い場合はなおさらだ。
Tournament 脆弱性とスキルに基づくリスク要因に関する洞察
ASRGtournament とトレーニング・イニシアチブは、コネクテッド・ビークルに影響するいくつかの重要な脆弱性に集中的に取り組んだ:
何千分ものトレーニングと何百回ものチャレンジの結果、アクセス・コントロール、機密データ・ストレージ、そして最優先事項としてメモリ破壊の脆弱性に焦点を当てるべきであることが明らかになった。後者は、超接続された自動車だけでなく、他の多くのIoTデバイスで潜在的な悪用として知られている。
このようなバグが最近、CiscoのCustomer ExperienceAssessment & Penetration Team (CX APT)によって、Linux ARMv7システムで使用されているライブラリであるGNU Glibcに発見された。複数の環境ポイントからリアルタイムでデータを収集するセンサーを多用するこの時代、攻撃者にとっては、たとえデバイスの遠隔操作が不可能であったとしても、その代償は大きい。
ASRGのチームは、テスト済みのツールやソリューションのディレクトリ、包括的なウィキ、強力なグローバルコミュニティによって、自動車セキュリティに必要な開発者のための素晴らしいリソースを構築してきました。このような独立したグループの取り組みは、草の根レベルで変化を推進するために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、非常に機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素となっている。
セキュアコーディングのベストプラクティスに今費用することによる投資利益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッド・テクノロジーを既存のサイバー脅威と新たなサイバー脅威の両方から確実に保護・防御するという点で、自動車業界は他の多くの業界に比べて大きく遅れをとっていることが明らかになった。
特に、ASRGのような組織は、自動車会社が鉄壁のセキュリティ・プログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界におけるセキュリティの最前線を維持するために戦っている。
非常に魅力的でグローバルなSecure Code Warrior Tournament を運営した経験から、開発コホート内の中核的なリスク領域、さらなる学習の機会、セキュアコーディングの課題から得られた正確な統計、業界のニーズに関連する、重点的に取り組むべき主要な脆弱性を特定する機会を得た。
それでは、組織内のセキュリティプログラムを変革し、SDLC の初期段階からセキュリティに対する意識と行動を浸透させることで、どのようなリターンが見込めるでしょうか?見てみましょう:
セキュリティ監査で年間わずかな数の脆弱性を発見した企業にとって、その発見と是正にかかる潜在的なコストは莫大なものになる可能性がある。また、このような厄介なバグがプロセスのどの段階で発見されるかによって、「単純な」修正であっても、修正の価格が劇的に上昇する可能性がある。
一般的な
よくある脆弱性を
予算が吹っ飛び、重要なリリースを逃すことになる。
予算が吹っ飛び、重要な
を逃すことになる。左から始めて
開発者に
SQLインジェクション、XSS
SQLインジェクション、XSS
セキュリティの誤設定といった数十年来のバグを取り除くことができる、
コストはもちろんのこと
時間の節約になる。
投資利益率
この3点による試算は、SecureCode Warriorのトレーニング、tournaments 、文化の変革によって実現される3つの異なるコスト削減が、財務および日々に与える潜在的な影響を示している。
年間節約可能額