Ressources sur la gouvernance des logiciels d'IA

Vidéo

トーナメントのステップバイステップガイド

1er janvier 2021

Brochure

評価-開発者のセキュアコーディングスキルをベンチマークし、セキュリティ体制を構築します。

1er janvier 2021

Livres blancs

アジャイルニニニニニヨン:ベルベル型プレフィロイ

30 novembre 2023

Webinaire

強固な基盤を持つAppSecプログラムを構築する方法

AppSecプログラムの戦略策定におけるベースライン設定の重要性と主なアプローチ

16 août 2022

SCW ペンテストの概要

18 juillet 2021

トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み

自動車セキュリティ研究グループは、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。

消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。

Faisons la lumière sur l'état l'état de l'industrie, les problèmes immédiats immédiates auxquelles nous devons faire face, et les statistiques réelles de centaines de défis joués sur la plateforme Secure Code Warrior.

‍

車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか？

攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。

どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。

→ Interface web et API mobiles
Des applications web et des API exploitables peuvent permettre à un pirate d'accéder à des informations d'identification sensibles, et quelque chose d'aussi simple qu'une mauvaise configuration de la sécurité ou une vulnérabilité de la logique commerciale peut conduire à une violation importante de la vie privée - ou du moins, à la transmission de plus d'informations que prévu entre les logiciels - au sein des applications connectées.

→ Applications mobiles
Nous sommes nombreux à apprécier le confort moderne de la connectivité automobile via une interface embarquée. Cependant, une attaque malveillante est possible si une vulnérabilité permet un accès involontaire à quelque chose d'aussi simple que la radio. L'inclusion de fichiers à distance permettrait de diffuser des logiciels malveillants dans les applications multimédias embarquées.

→ Injection de code sur les systèmes de divertissement
Sur un système exploitable, un pirate peut potentiellement créer des fichiers multimédias qui peuvent modifier le code à l'intérieur du système. Cela ouvre des voies pour exploiter, et même contrôler à distance, d'autres parties des véhicules connectés.

→ Médias sans fil
Les acteurs de la menace peuvent s'attaquer aux vulnérabilités des canaux sans fil tels que Bluetooth ou Wi-Fi, ce qui permet de contourner les privilèges administratifs.

→ Interfaces de capteurs externes
Les acteurs de la menace peuvent falsifier les capteurs externes et forcer le véhicule à prendre des mesures non souhaitées.

→ Entrée par clé sans fil
Les applications vulnérables peuvent être utilisées pour exploiter l'entrée de clé sans fil, les attaquants pouvant utiliser un pont proxy entre la clé et l'automobile, ce qui leur donne la possibilité de verrouiller ou d'ouvrir l'automobile à volonté. Cela a déjà été prouvé lors d'attaques sur plusieurs véhicules.

→ Accès à un dispositif externe via le port OBD-II
Accès potentiel aux systèmes internes du véhicule.

→ Attaques contre le service en nuage du fournisseur automobile
Une infrastructure en nuage vulnérable - même quelque chose d'aussi simple qu'une mauvaise configuration - pourrait potentiellement permettre à un acteur de menace d'attaquer de nombreux véhicules connectés à la fois.

経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。

‍

車両が乗っ取られた場合の被害はどの程度ですか？

ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。

しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。

2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。

‍

TEMPS PASSÉ EN FORMATION : 3303 minutes ACTIF SUR TOURNAMENTS: 3697 minutes EN APPRENTISSAGE DE PREMIÈRE NIVEAU 189 minutes

トーナメントとトレーニングトライアルの事実と数字

これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。

トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。

参加者で最も一般的な開発者プロフィール

Tournaments sont un excellent moyen d'introduire d'introduire des de sécurité, un référence de qualité, et la responsabilité d'apprendre à écraser les bogues bogues de sécurité dans le code

‍

その他の重要な調査結果:

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア

参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。

脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察

ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。

何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。

そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム（CX APT）によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。

ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。

安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率

SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。

これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。

非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。

では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。

セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。

Coût relatif de la réparation, en fonction du moment de la détection

Ignorer les vulnérabilités vulnérabilités courantes jusqu'au dernier moment moment possible est un moyen infaillible de faire exploser les budgets et de manquer des versions critiques. et de manquer des dates de critiques. En commençant à gauche et en en donnant aux développeurs les moyens de d'effacer des bogues vieux de plusieurs décennies comme les injections SQL, les XSS et les les erreurs de configuration en matière de sécurité, les économies de coûts - sans parler du temps - sont immenses.

投資収益率

この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。

‍

年間節約の可能性

‍

Études de cas

ASRGの車載ソフトウェア・セキュリティへの取り組み

この包括的なケーススタディでは、彼らがどのようにSecure Code Warriorのトーナメントを活用して開発者を引き付け、自動車ソフトウェアに影響を与える主要な脆弱性に対する認識を高め、複数の言語やフレームワークにわたる指標を取得したかについて詳しく学んでください。

1er janvier 2021

Guides

アプリケーションセキュリティチェックリスト

AppSecチェックリストをダウンロードして、セキュリティライフラインが必要かどうかを確認してください。

1er janvier 2021

Livres blancs

ホワイトペーパー:ソフトウェアセキュリティを向上させるための課題 (および機会)

30 juin 2022

Webinaire

セキュリティスキルのベンチマーキング:企業におけるセキュリティ・バイ・デザインの合理化

セキュリティ・バイ・デザイン・イニシアチブの成功に関する有意義なデータを見つけることは、非常に難しいことで知られています。CISOは、セキュリティプログラム活動の投資収益率 (ROI) とビジネス価値を人材レベルと企業レベルの両方で証明しようとする際に、しばしば課題に直面します。言うまでもなく、企業が現在の業界標準に対してどのようにベンチマークされているかを把握することは、企業にとって特に困難です。大統領の国家サイバーセキュリティ戦略は、利害関係者に「設計からセキュリティとレジリエンスを取り入れる」よう求めました。セキュア・バイ・デザイン構想を成功させる鍵は、開発者にセキュアなコードを確保するスキルを身につけるだけでなく、そのスキルが整っていることを規制当局に保証することです。このプレゼンテーションでは、25万人以上の開発者から収集された内部データポイント、データ主導の顧客洞察、公開調査など、複数の主要な情報源から導き出された無数の定性的および定量的データを共有します。このようなデータポイントの集合を活用して、複数の業種にわたるセキュリティ・バイ・デザイン・イニシアチブの現状に関するビジョンを伝えることを目指しています。このレポートでは、この分野が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティリスクの軽減に与える大きな影響、およびコードベースから特定のカテゴリの脆弱性を排除できる可能性について詳しく説明しています。

17 avril 2025

リソースライブラリ。

最新記事

Secure Code Warrior corporate overview

Sujets et contenu de la formation sur le code sécurisé

Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.

Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception

すべてのリソースを見る

トーナメントのステップバイステップガイド

評価-開発者のセキュアコーディングスキルをベンチマークし、セキュリティ体制を構築します。

アジャイルニニニニニヨン:ベルベル型プレフィロイ

アジャイルニニニニニヨン:ベルベル型プレフィロイ

強固な基盤を持つAppSecプログラムを構築する方法

SCW ペンテストの概要

トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み

車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか？

車両が乗っ取られた場合の被害はどの程度ですか？

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。

トーナメントとトレーニングトライアルの事実と数字

参加者で最も一般的な開発者プロフィール

その他の重要な調査結果:

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア

脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察

安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率

投資収益率

年間節約の可能性

ASRGの車載ソフトウェア・セキュリティへの取り組み

アプリケーションセキュリティチェックリスト

ホワイトペーパー:ソフトウェアセキュリティを向上させるための課題 (および機会)

セキュリティスキルのベンチマーキング:企業におけるセキュリティ・バイ・デザインの合理化

Souhaitez-vous en savoir davantage ?

セキュア・コーディングとその先に関する最新情報をご覧ください

セキュア・コード・ウォリアーを始めましょう