ASRGの車載ソフトウェア・セキュリティへの取り組み
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
この包括的なケーススタディでは、彼らがどのようにSecure Code Warriorのトーナメントを活用して開発者を引き付け、自動車ソフトウェアに影響を与える主要な脆弱性に対する認識を高め、複数の言語やフレームワークにわたる指標を取得したかについて詳しく学んでください。
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Monsieur Yūan Kō Wondaririn, vous êtes donc M. Nana ? Cela m'a rendu très nostalgique.
Veuillez essayerトーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み
自動車セキュリティ研究グループ は、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。
消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。 米国の自動車産業を標的とする攻撃者 侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。
車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか?
攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。
どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。
経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。
車両が乗っ取られた場合の被害はどの程度ですか?
ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。
しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。
2015年にさかのぼると、 セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功 高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。
自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。
トーナメントとトレーニングトライアルの事実と数字
これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。
トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。
参加者で最も一般的な開発者プロフィール
その他の重要な調査結果:
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア
グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア
参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。
脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察
ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。
何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。
そのような バグ は最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム(CX APT)によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。
ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。
安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率
SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。
これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。
非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。
では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。
セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。
投資収益率
この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。
年間節約の可能性
Table des matières
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
