Recursos de gobernanza de software de IA

Vídeo

トーナメントのステップバイステップガイド

1 de enero de 2021

Folleto

評価-開発者のセキュアコーディングスキルをベンチマークし、セキュリティ体制を構築します。

1 de enero de 2021

Libros blancos

アジャイルニニニニニヨン:ベルベル型プレフィロイ

30 de noviembre de 2023

Seminario en línea

強固な基盤を持つAppSecプログラムを構築する方法

AppSecプログラムの戦略策定におけるベースライン設定の重要性と主なアプローチ

16 de agosto de 2022

SCW ペンテストの概要

18 de julio de 2021

トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み

自動車セキュリティ研究グループは、自動車製品をより安全でセキュアにするソリューションの発掘と促進に重点を置いて、自動車業界のセキュリティ意識を高め、開発を支援することを目的とした非営利団体です。現在、この業界はコネクティッドカー、自動運転車、シェアードカー、電動車、ソフトウェア・デファインド・ビークルへと変化しつつあり、次の革命が起こっています。自動車やエコシステムアプリケーションを駆動するソフトウェアへの依存度が大幅に高まる中、業界にとって画期的な新しいテクノロジーの世界に向かうにあたり、ASRGのような組織は、自動車業界におけるソフトウェアセキュリティへの関心を集め、維持する上で重要な役割を果たしています。

消費者市場での新しい車両技術の採用が増えるにつれ、潜在的な攻撃ベクトルとサイバーリスクが拡大するにつれて、この認識、そして最も重要なのはそれに基づいて行動するメーカーが不可欠です。FBIは最近、次のことを警告しました。米国の自動車産業を標的とする攻撃者侵害の大半は、暗号化されていない機密データが原因です。これは、不適切に構成されたデータベースをブルートフォース攻撃するなどの攻撃に加えて、甚大で致命的な結果を招く可能性があります。ASRGのチームは、自動車製品のソフトウェアセキュリティ基準の策定と維持に役立つソリューションとツールに関する研究の一環として、Secure Code Warriorのプラットフォーム、つまりトーナメント機能を試用しました。ASRGは、友好的でゲーム化された競争を通じて開発者を引き付け、セキュリティ意識を高め、セキュアコーディングスキルを磨くことを目的として構築されました。ASRGは、Secure Code Warriorがどのようにして開発者にセキュリティへの関心を呼び起こし、自動車ソフトウェアに影響を与える一般的な脆弱性を阻止するスキルを教え、容認できないリスクへの水門を開くことができるかを調査しました。

Iluminemos el estado de la industria, los problemas inmediatos que tenemos que abordar, y las estadísticas reales de cientos de retos en la plataforma Secure Code Warrior.

‍

車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか？

攻撃者が車載ソフトウェアにアクセスする潜在的な手段を分析すると、以下で詳しく説明されているように、さまざまな可能性があります。 Allotの包括的なレポート。

どんなにセキュリティ意識が高くても、開発者はそれらすべてから身を守ることはできません (また、そうすることを期待すべきでもありません。AppSecのスペシャリストが存在するのには理由があります!)しかし、次のような知識豊富なエンジニアが深刻な問題になる前にコードで塞ぐことができる共通のバックドアはたくさんあります。

→ Interfaz web y API para móviles
Las aplicaciones web y las API vulnerables pueden permitir a un atacante acceder a credenciales confidenciales, y algo tan simple como una mala configuración de seguridad o una vulnerabilidad de la lógica empresarial puede dar lugar a una violación significativa de la privacidad -o, al menos, a la transmisión de más información entre programas de la prevista- dentro de las aplicaciones conectadas.

→ Aplicaciones móviles
Muchos de nosotros disfrutamos de la comodidad moderna de la conectividad del coche a través de una interfaz de a bordo. Sin embargo, un ataque malicioso es posible si una vulnerabilidad proporciona acceso involuntario a algo incluso tan simple como la radio. La inclusión remota de archivos permitiría reproducir malware a través de las apps multimedia de a bordo.

→ Inyección de código en sistemas de entretenimiento
En un sistema explotable, un atacante podría potencialmente crear archivos multimedia que pueden cambiar el código dentro de él. Esto abre vías para explotar, e incluso monitorizar remotamente, otras partes de los vehículos conectados.

→ Medios inalámbricos
Los actores de amenazas pueden atacar vulnerabilidades en canales inalámbricos como Bluetooth o Wi-Fi, que pueden eludir privilegios administrativos.

→ Interfaces de sensores externos
Los actores de amenazas pueden falsificar sensores externos y forzar al vehículo a realizar acciones no deseadas.

→ Entrada de llave inalámbrica
Las apps vulnerables pueden usarse para explotar la entrada inalámbrica de llaves, con atacantes capaces de usar un puente proxy entre la llave y el automóvil, dándoles la capacidad de cerrar o abrir el automóvil a voluntad. Esto ya se ha demostrado con ataques a varios vehículos.

→ Acceso de dispositivos externos a través del puerto OBD-II.
Acceso potencial a los sistemas internos del vehículo.

→ Ataques al servicio en la nube del proveedor de automoción
Una infraestructura en la nube vulnerable -incluso algo tan simple como una configuración incorrecta- podría permitir a un actor de amenazas atacar a muchos vehículos conectados a la vez.

経験豊かなエンジニアが、深刻な問題になる前にコードで閉じることができる一般的なバックドアはたくさんあります。

‍

車両が乗っ取られた場合の被害はどの程度ですか？

ほとんどの車両が 100% 安全というわけではなく、使用する際にはリスクの要素があることは、一般の人にはかなり明白です。自動車の誤動作、事故、飲酒運転... これらはすべて、道路利用者にとって致命的な結果をもたらす可能性があります。

しかし、その壊滅的な車両の誤動作が、特に悪意のあるサイバー攻撃の結果として、実際にはリモートで引き起こされたとしたらどうでしょうか。生命を脅かすような結果が生じた場合、世界はサイバーセキュリティに真剣に取り組むだろうと長い間示唆されてきましたが、現実には、私たちはすでにその領域に入っており、介入しなければ、ここからエスカレートするだけです。

2015年にさかのぼると、セキュリティ研究者がジープチェロキーのエンジンを「殺した」ことに成功高速道路を走るとき、システムソフトウェアの既知のゼロデイエクスプロイトを利用して、空調、ラジオ、ステアリング、ブレーキ、トランスミッションをワイヤレスで制御できました。危険ではありますが、これは封じ込められた実験でしたが、攻撃者が車両とその乗員を致命的に制御できることが証明されました。この事件以降、何百万台ものコネクテッドカーが道路を走り回っています。そのどれも数百万行にのぼるコード行に相当し、セキュリティで保護する必要があります。

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を高めるコードの実装を担当するチームに大きな負担をかける可能性があります。自動車業界のソフトウェア開発者は、セキュリティに対する責任を分担することが急務です。ASRG は、最新のセキュリティ知識、ツール、同業者の推奨事項、サポートを提供するコミュニティハブとして多くの人が利用しています。彼らの世界的な Secure Code Warrior トーナメントは、世界中の ASRG 支部を代表する100人以上の開発者を巻き込み、評価し、刺激を与えることを目的としていました。彼らは友好的な競争とトレーニングに参加し、業界に蔓延しているソフトウェアが直面している問題に直接関係するセキュアコーディングの課題を解決しようと努めました。

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。

‍

TIEMPO PASADO EN FORMACIÓN: 3303 minutos ACTIVO EN TOURNAMENTS: 3697 minutos EN APRENDIZAJE PRÁCTICO 189 minutos

トーナメントとトレーニングトライアルの事実と数字

これは、高いエンゲージメントとプレーを続けたいという願望の表れであり、どちらもトレーニングと教育におけるゲーミフィケーション技術の副産物として非常に有益です。

トレーニングやトーナメントは、個々の開発者が希望する言語とフレームワークでプレイできるため、課題の関連性が高く、日常業務で出くわすような現実世界のコードを使用できます。このような状況に応じた一口サイズの学習アプローチにより、組織のSDLCで最も蔓延している問題を解決するために最も重要なコンテンツを迅速に配信できます。

参加者で最も一般的な開発者プロフィール

Tournaments son una buena forma de introducir normas seguridad, un referencia de calidad y la responsabilidad de aprender a aplastar los errores de seguridad en el código

‍

その他の重要な調査結果:

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア

参加者全員が選択した言語とフレームワークにある程度の習熟度を示しましたが、「100% 安全」と見なされたり習得されたりした脆弱性領域は1つもなく、平均精度スコアは 67% でした。どの開発者もセキュリティの専門家になることは期待されていませんが、トーナメントはセキュリティ標準を導入する素晴らしい方法であり、品質のベンチマークであり、コードの一般的なセキュリティバグを解決する方法を学ぶ責任でもあります... 特にそのコードがそうであれば誰かの車両のリモートアクセス制御につながるか、さらに悪いことに。

脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察

ASRGのトーナメントとトレーニングの取り組みは、コネクテッドカーに影響を及ぼす次のような主要な脆弱性に重点を置いて実施されました。

何千分ものトレーニングと何百もの課題を経て、明らかになったのは、アクセス制御、機密データストレージ、そして優先事項としてメモリ破損の脆弱性です。後者は、ウルトラコネクテッドカーだけでなく、その他多くの IoT デバイスで悪用される可能性があることが知られています。

そのようなバグは最近、シスコのカスタマーエクスペリエンス評価およびペネトレーションチーム（CX APT）によって、Linux ARMv7システムで使用されるライブラリであるGNU Glibcで発見されました。パッチが作成されて適用されるまで、メモリ破損の脆弱性が残っていました。センサーを多用するデバイスが複数の環境ポイントからリアルタイムでデータを収集する時代では、デバイスのリモート制御が不可能であっても、攻撃者にとって大きな利益となる可能性があります。

ASRGのチームは、テスト済みのツールとソリューションのディレクトリ、包括的なWiki、強力なグローバルコミュニティを通じて、自動車セキュリティの分野で活躍する必要のある開発者向けの素晴らしいリソースを構築してきました。このような独立したグループの取り組みこそが、草の根レベルで変化を促すために必要なものであり、新しいことに挑戦し、メンバーのセキュリティ意識の基礎を築こうとする彼らの意欲は、機密性の高いデバイスで繰り返し発生する脆弱性を阻止するための強力な要素です。

安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率

SAE InternationalとSynopsys Software IntegrityGroupが発表した調査によると、コネクテッドテクノロジーを既存および新たなサイバー脅威の両方から保護し、保護するという点では、自動車業界は他の多くの業界に大きく遅れをとっていました。

これは懸念される傾向ですが、取り返しのつかないものではありません。特に、ASRGのような組織が、自動車企業が強固なセキュリティプログラムを構築するために必要なソリューション、ツール、教育に光を当てながら、業界でセキュリティを最優先にしようと奮闘している場合はなおさらです。

非常に魅力的なグローバルSecure Code Warrior Tournamentを運営した経験から、開発コホート内の主要なリスク領域、さらに学ぶ機会、セキュアコーディングの課題から得られる正確な統計、および業界のニーズに関連する主要な脆弱性を特定する機会が得られました。

では、SDLCの初期段階から組織内のセキュリティプログラムを変革し、セキュリティ意識と行動を浸透させることによる推定収益はどのくらいでしょうか。見てみましょう。

セキュリティ監査で年間の脆弱性がわずかでも特定されている企業にとっては、検出と修復にかかる潜在的なコストは莫大なものになる可能性があります。そして、これらの厄介なバグがプロセスのどこで明らかになったかにもよりますが、「単純な」修正であっても、修正のコストは劇的に高くなる可能性があります。これは、初期段階で発見して修正した修正と比較して、後期段階の修正にかかるコストの最大30倍です。

Coste relativo de la reparación en función del momento de la detección

Ignorar las vulnerabilidades vulnerabilidades hasta el último momento posible es una forma segura de arruinar los presupuestos y perder fechas de lanzamiento críticas. Empezando por la izquierda y a los desarrolladores borrar errores de hace décadas como la inyección SQL, XSS y errores de seguridad, el ahorro de costes, por no mencionar el tiempo- son inmensos.

投資収益率

この3点の見積もりは、SecureCode Warriorのトレーニング、トーナメント、文化的変革によって可能になった3つの異なる節約がもたらす潜在的な財務的および日次的影響を示しています。

‍

年間節約の可能性

‍

Estudios de caso

Iniciativas de ASRG en materia de seguridad del software para vehículos

En este estudio de caso exhaustivo, descubra cómo utilizaron el torneo Secure Code Warrior para atraer a desarrolladores, aumentar la concienciación sobre las principales vulnerabilidades que afectan al software automovilístico y obtener métricas en varios lenguajes y marcos.

1 de enero de 2021

Guías

アプリケーションセキュリティチェックリスト

AppSecチェックリストをダウンロードして、セキュリティライフラインが必要かどうかを確認してください。

1 de enero de 2021

Libros blancos

ホワイトペーパー:ソフトウェアセキュリティを向上させるための課題 (および機会)

30 de junio de 2022

Seminario en línea

セキュリティスキルのベンチマーキング:企業におけるセキュリティ・バイ・デザインの合理化

セキュリティ・バイ・デザイン・イニシアチブの成功に関する有意義なデータを見つけることは、非常に難しいことで知られています。CISOは、セキュリティプログラム活動の投資収益率 (ROI) とビジネス価値を人材レベルと企業レベルの両方で証明しようとする際に、しばしば課題に直面します。言うまでもなく、企業が現在の業界標準に対してどのようにベンチマークされているかを把握することは、企業にとって特に困難です。大統領の国家サイバーセキュリティ戦略は、利害関係者に「設計からセキュリティとレジリエンスを取り入れる」よう求めました。セキュア・バイ・デザイン構想を成功させる鍵は、開発者にセキュアなコードを確保するスキルを身につけるだけでなく、そのスキルが整っていることを規制当局に保証することです。このプレゼンテーションでは、25万人以上の開発者から収集された内部データポイント、データ主導の顧客洞察、公開調査など、複数の主要な情報源から導き出された無数の定性的および定量的データを共有します。このようなデータポイントの集合を活用して、複数の業種にわたるセキュリティ・バイ・デザイン・イニシアチブの現状に関するビジョンを伝えることを目指しています。このレポートでは、この分野が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティリスクの軽減に与える大きな影響、およびコードベースから特定のカテゴリの脆弱性を排除できる可能性について詳しく説明しています。

17 de abril de 2025

リソースライブラリ。

最新記事

Secure Code Warrior corporate overview

Temas y contenidos de la formación en código seguro

Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.

Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño

すべてのリソースを見る

トーナメントのステップバイステップガイド

評価-開発者のセキュアコーディングスキルをベンチマークし、セキュリティ体制を構築します。

アジャイルニニニニニヨン:ベルベル型プレフィロイ

アジャイルニニニニニヨン:ベルベル型プレフィロイ

強固な基盤を持つAppSecプログラムを構築する方法

SCW ペンテストの概要

トーナメントトルク:ASRGの自動車ソフトウェアセキュリティへの取り組み

車載ソフトウェアの典型的な攻撃ベクトルはどこにありますか？

車両が乗っ取られた場合の被害はどの程度ですか？

自動運転車テクノロジー (およびその採用) は目まぐるしいペースで進んでおり、これは開発者、特に明日の利便性を強化するコードの実装を担当するチームに大きな負担をかける可能性があります。

トーナメントとトレーニングトライアルの事実と数字

参加者で最も一般的な開発者プロフィール

その他の重要な調査結果:

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:言語別のセキュア・コード・スコア

グローバル ASRG バーチャル・セキュア・コーディング・トーナメント:脆弱性ごとのセキュア・コード・スコア

脆弱性とスキルに基づくリスク要因に関するトーナメントの洞察

安全なコーディングのベストプラクティスに今すぐ投資することによる投資収益率

投資収益率

年間節約の可能性

Iniciativas de ASRG en materia de seguridad del software para vehículos

アプリケーションセキュリティチェックリスト

ホワイトペーパー:ソフトウェアセキュリティを向上させるための課題 (および機会)

セキュリティスキルのベンチマーキング:企業におけるセキュリティ・バイ・デザインの合理化

¿Quieres más?

セキュア・コーディングとその先に関する最新情報をご覧ください

セキュア・コード・ウォリアーを始めましょう