ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da029434316920372d7e31_Background%203.webp)
ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c23e21d563e80fdd9e9_63a2fbf4622321be9d1ccb44_8.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/66967bcb1a5f0e13ea1e0db3_Case%20Study%208.webp)
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
![AUSBILDUNGSZEIT: 3303 Minuten AKTIV IN TOURNAMENTS: 3697 Minuten ERSTES ANFASSEN-LERNEN 189 Minuten](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0fd2308913f8ee1a11ca_Screenshot%202023-08-14%20at%2011.27.50.webp)
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da09ad88b367f88ad1a21f_asrg%20image.webp)
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0ac845662ee17de35d4c_Global%20ASRG%20virtual%20secure%20coding%20tourn.webp)
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0b21d6d6a3ceb046e221_Screenshot%202023-08-14%20at%2011.08.08.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0b4f03a3998e7f001aca_Screenshot%202023-08-14%20at%2011.08.52.webp)
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
![dekoratives Bild](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0be7122758272510b2eb_Screenshot%202023-08-14%20at%2011.11.14.webp)
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
![Relative Kosten zur Behebung, basierend auf dem Zeitpunkt der Entdeckung](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0cd0bec48c7910ee87cb_relative%20cost%20to%20fix.webp)
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0d5dd395c6f5e832e4bd_ROI%20.webp)
Jährliches Einsparpotenzial
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0da5bdb68b1847a32f20_potential%20annual%20savings.webp)
Starten Sie Ihren kostenlosen Test
Möchten Sie Secure Code Warrior ausprobieren, haben aber noch kein Konto? Melden Sie sich noch heute für ein kostenloses Testkonto an, um loszulegen.
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64106e823b44630438191a97_Free-trial-cta-image.webp)
Ressourcen für den Einstieg
Vertrauensperson von Secure Code Warrior
Entdecken Sie den SCW Trust Agent, eine innovative Lösung, die die Sicherheit erhöht, indem sie die Kenntnisse und Fähigkeiten von Entwicklern in Bezug auf sicheren Code mit der von ihnen übertragenen Arbeit in Einklang bringt. Er bietet umfassende Transparenz und Kontrolle über das gesamte Code-Repository eines Unternehmens, indem er jeden Commit mit den sicheren Code-Profilen der Entwickler abgleicht. Mit SCW Trust Agent können Unternehmen ihre Sicherheitslage verbessern, die Entwicklungszyklen optimieren und die entwicklergesteuerte Sicherheit skalieren.
Trust Score von Secure Code Warrior
Entdecken Sie den SCW Trust Score, ein branchenweit einzigartiges Benchmarking zur Messung der Effektivität Ihres Sicherheitsprogramms. Vergleichen Sie sich mit Branchenkollegen, optimieren Sie Ihre Sicherheitslage und treffen Sie datengestützte Entscheidungen für eine verbesserte Software-Sicherheit.
Ressourcen für den Einstieg
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
SCW Trust Agent - Sichtbarkeit und Kontrolle zur Skalierung der entwicklergesteuerten Sicherheit
Der von Secure Code Warrior vorgestellte SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit in Unternehmen benötigen. Durch die Verbindung mit Code-Repositories wertet er Code-Commit-Metadaten aus, prüft Entwickler, verwendete Programmiersprachen und Zeitstempel für den Versand, um das Sicherheitswissen der Entwickler zu ermitteln.
Ist Ihr Sicherheitsprogramm bereit für den CISA-Strategieplan für Cybersicherheit?
Der Strategische Plan für Cybersicherheit sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler befinden sich in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/63e39c23e21d563e80fdd9e9_63a2fbf4622321be9d1ccb44_8.webp)
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
![AUSBILDUNGSZEIT: 3303 Minuten AKTIV IN TOURNAMENTS: 3697 Minuten ERSTES ANFASSEN-LERNEN 189 Minuten](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0fd2308913f8ee1a11ca_Screenshot%202023-08-14%20at%2011.27.50.webp)
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da09ad88b367f88ad1a21f_asrg%20image.webp)
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0ac845662ee17de35d4c_Global%20ASRG%20virtual%20secure%20coding%20tourn.webp)
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0b21d6d6a3ceb046e221_Screenshot%202023-08-14%20at%2011.08.08.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0b4f03a3998e7f001aca_Screenshot%202023-08-14%20at%2011.08.52.webp)
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
![dekoratives Bild](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0be7122758272510b2eb_Screenshot%202023-08-14%20at%2011.11.14.webp)
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
![Relative Kosten zur Behebung, basierend auf dem Zeitpunkt der Entdeckung](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0cd0bec48c7910ee87cb_relative%20cost%20to%20fix.webp)
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0d5dd395c6f5e832e4bd_ROI%20.webp)
Jährliches Einsparpotenzial
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/64da0da5bdb68b1847a32f20_potential%20annual%20savings.webp)
Ressourcen für den Einstieg
Frauen in der Sicherheitsbranche sind auf dem Vormarsch: Wie die AWSN eine neue Generation von Superfrauen im Sicherheitsbereich hervorbringt
Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf den höchsten Ebenen der Global Governance zusammenarbeitet, fordert von den Anbietern einen höheren Standard für Softwarequalität und -sicherheit.
SCW Trust Agent - Sichtbarkeit und Kontrolle zur Skalierung der entwicklergesteuerten Sicherheit
Der von Secure Code Warrior vorgestellte SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit in Unternehmen benötigen. Durch die Verbindung mit Code-Repositories wertet er Code-Commit-Metadaten aus, prüft Entwickler, verwendete Programmiersprachen und Zeitstempel für den Versand, um das Sicherheitswissen der Entwickler zu ermitteln.
Vertrauensperson von Secure Code Warrior
Entdecken Sie den SCW Trust Agent, eine innovative Lösung, die die Sicherheit erhöht, indem sie die Kenntnisse und Fähigkeiten von Entwicklern in Bezug auf sicheren Code mit der von ihnen übertragenen Arbeit in Einklang bringt. Er bietet umfassende Transparenz und Kontrolle über das gesamte Code-Repository eines Unternehmens, indem er jeden Commit mit den sicheren Code-Profilen der Entwickler abgleicht. Mit SCW Trust Agent können Unternehmen ihre Sicherheitslage verbessern, die Entwicklungszyklen optimieren und die entwicklergesteuerte Sicherheit skalieren.