ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Sehen Sie sich diese umfassende Fallstudie an, um mehr darüber zu erfahren, wie das Unternehmen die Turniere von Secure Code Warrior genutzt hat, um Entwickler einzubeziehen, das Bewusstsein für wichtige Sicherheitslücken in Automobilsoftware zu schärfen und Kennzahlen für mehrere Sprachen und Frameworks zu gewinnen.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Créez un compte d'essai gratuit dès aujourd'hui pour commencer.
Essayez maintenantTournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein
Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.
Wo sind die typischen Angriffsvektoren in Automobilsoftware?
Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.
Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:
Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.
Wie ernst ist die Situation eines kompromittierten Fahrzeugs?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.
Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.
Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten der Turnier- und Trainingstests
Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Weitere wichtige Ergebnisse:
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.
Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren
Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.
Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.
Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.
Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:
Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.
Kapitalrendite
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.
Mögliche jährliche Einsparungen
Table des matières
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
