ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
In dieser umfassenden Fallstudie erfahren Sie mehr darüber, wie das Unternehmen Secure Code Warrior's tournaments genutzt hat, um Entwickler einzubinden, das Bewusstsein für die wichtigsten Schwachstellen in der Automobilsoftware zu erhöhen und Metriken über mehrere Sprachen und Frameworks hinweg zu gewinnen.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenTournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMöchten Sie Secure Code Warrior ausprobieren, haben aber noch kein Konto? Melden Sie sich noch heute für ein kostenloses Testkonto an, um loszulegen.
Jetzt ausprobierenTournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.