ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
In dieser umfassenden Fallstudie erfahren Sie mehr darüber, wie das Unternehmen Secure Code Warrior's tournaments genutzt hat, um Entwickler einzubinden, das Bewusstsein für die wichtigsten Schwachstellen in der Automobilsoftware zu erhöhen und Metriken über mehrere Sprachen und Frameworks hinweg zu gewinnen.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Möchten Sie Secure Code Warrior ausprobieren, haben aber noch kein Konto? Melden Sie sich noch heute für ein kostenloses Testkonto an, um loszulegen.
Jetzt ausprobierenTournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Sicher durch Design: Definition von Best Practices, Befähigung von Entwicklern und Benchmarking von präventiven Sicherheitsergebnissen
In diesem Forschungspapier werden die Mitbegründer von Secure Code Warrior , Pieter Danhieux und Dr. Matias Madou, Ph.D., zusammen mit den Experten Chris Inglis, ehemaliger US National Cyber Director (jetzt strategischer Berater der Paladin Capital Group), und Devin Lynch, Senior Director, Paladin Global Institute, die wichtigsten Erkenntnisse aus mehr als zwanzig ausführlichen Interviews mit Sicherheitsverantwortlichen in Unternehmen, darunter CISOs, ein VP of Application Security und Software-Sicherheitsexperten, offenlegen.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Aussagekräftige Daten über den Erfolg von Secure-by-Design-Initiativen zu finden, ist bekanntermaßen schwierig. CISOs stehen oft vor der Herausforderung, den Return on Investment (ROI) und den Geschäftswert von Sicherheitsprogrammen sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Organisation im Vergleich zu aktuellen Branchenstandards abschneidet. Die Nationale Cybersicherheitsstrategie des Präsidenten forderte die Beteiligten auf, "Sicherheit und Widerstandsfähigkeit durch Design" zu erreichen. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die nötigen Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl von qualitativen und quantitativen Daten vor, die aus verschiedenen Primärquellen stammen, darunter interne Daten von über 250.000 Entwicklern, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser gesammelten Daten wollen wir eine Vision des aktuellen Stands von Secure-by-Design-Initiativen in verschiedenen Branchen vermitteln. Der Bericht zeigt auf, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Schulungsprogramm auf die Minderung von Cybersecurity-Risiken haben kann und welches Potenzial zur Beseitigung von Schwachstellen in einer Codebasis besteht.
Ressourcen für den Einstieg
Schließen Sie den Kreis zu Schwachstellen mit Secure Code Warrior + HackerOne
Secure Code Warrior freut sich, unsere neue Integration mit HackerOne, einem führenden Anbieter von offensiven Sicherheitslösungen, bekannt zu geben. Gemeinsam bauen wir ein leistungsstarkes, integriertes Ökosystem auf. HackerOne zeigt auf, wo Schwachstellen in realen Umgebungen tatsächlich auftreten, und deckt das "Was" und "Wo" von Sicherheitsproblemen auf.
Aufgedeckt: Wie die Cyber-Industrie "Secure by Design" definiert
In unserem neuesten Whitepaper haben sich unsere Mitbegründer Pieter Danhieux und Dr. Matias Madou, Ph.D., mit über zwanzig Sicherheitsverantwortlichen in Unternehmen, darunter CISOs, AppSec-Leiter und Sicherheitsexperten, zusammengesetzt, um die wichtigsten Teile dieses Puzzles herauszufinden und die Realität hinter der Secure by Design-Bewegung aufzudecken. Die Sicherheitsteams haben ein gemeinsames Ziel, aber kein gemeinsames Regelwerk.
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
