Portland, Ore. - Aug. 23, 2022
- Eklypsium®
, Vanson Bourne i dag udgivet en ny rapport, der afslører, at den finansielle sektor er dårligt rustet til effektivt at tackle den igangværende trussel om firmware-relaterede forsyningskædeangreb. Faktisk mener 92 % af CISO'er i finanssektoren, at modstandere er bedre rustet til at våben firmware, end deres teams er til at sikre det. Derudover anerkender tre ud af fire huller i bevidstheden om organisationens blinde plet for firmware. Derfor indrømmer 88 % af de adspurgte, at de har oplevet et firmwarerelateret cyberangreb alene inden for de sidste to år.
Firmwaresikkerheden i forsyningskæder for finansielle tjenesteydelser rapporten deler indsigt fra 350 it-sikkerhedsbeslutningstagere i den finansielle sektor, specifikt dem, der er baseret i USA, Canada, Singapore, Australien, New Zealand og Malaysia. Resultaterne afslører ikke kun tilstanden af firmwaresikkerhed og manglen på forebyggende kontroller eller afhjælpningstaktikker, men kaster også lys over selvtilfredsheden og manglen på bevidsthed om nuværende sikkerhedsforanstaltninger. Mere alarmerende er konsensus omkring lidt til ingen dedikerede investeringer eller ressourcer og generel mangel på færdigheder til at tackle en af de største trusler inden for cybersikkerhed i dag. Data viser:
- Over halvdelen (55 %) var ofre for et kompromis på firmwareniveau mere end én gang inden for de seneste to år.
- Næsten fire ud af 10 vurderer datatab (og et GDPR-brud) som den førende konsekvens for et angreb; lige så rangeret er frygten for at miste kritiske sikkerhedskontroller.
- Ødelæggelse af kritiske enheder (35 %), tab af kunder (34 %) og modstandsadgang til andre enheder (34 %) blev alle lige bemærket som en skadelig påvirkning efter et firmware-relateret angreb.
"Financial Services-organisationer er førende mål for cyberangreb. Det forklarer, hvorfor de er avantgarde for at tage nye beskyttelsesteknologier i brug, alt imens de er under konstant vågent øje fra regulatorer og andre industrier, der venter på at følge deres spor, mens de stræber efter at bekæmpe stadigt udviklende angrebsvektorer. Men i tilfælde af sikring af firmware og hardwareforsyningskæden ser vi potentielle blinde vinkler,” sagde Ramy Houssaini, Global Cyber Resilience Executive. "Et skift i prioriteter er afgørende, hvis vi skal effektivt beskytte teknologiforsyningskæden. Finansielle organisationer skal fortsætte med at fungere som banebrydende og lukke firmwaresikkerhedskløften."
Finansielle organisationer mangler firmware-risikoindsigt at handle
Ifølge National Institute of Standards and Technology (NIST) er angreb på firmwareniveau steget med 500 % siden 2018, men alligevel er 93 % af de adspurgte overrasket over manglen på indsigt i aktuelle firmware-trusler. Alene inden for de sidste otte måneder har Eclypsium Research afsløret store trusler i naturen, herunder Intel ME-angreb fra Conti ransomware-gruppen.
Desværre skyldes den manglende indsigt betydelige huller i viden om firmware og forsyningskæden. Faktisk:
- Lidt over halvdelen (53 %) ved, at deres sikkerhedskontroller (firewalls, adgangskontrol osv.) er afhængige af firmware, 44 % er klar over, når de bliver stillet det samme spørgsmål om bærbare computere, hvilket efterlader 56 % uinformerede.
- 47% mener, at de har total bevidsthed om deres organisations overordnede firmwareangrebsoverflade, 49% er for det meste opmærksomme. Kun 39 % siger, at de straks ville blive informeret, hvis en enhed var blevet kompromitteret.
På trods af den opfattede viden er 91 % bekymrede over hullet i firmwaresikkerhed i deres organisations forsyningskæde.
Misforståelser, begrænsede midler og mangel på færdigheder/ressourcer driver stigningen
Firmware er den mest fundamentale komponent i enhver enhed og dermed den overordnede forsyningskæde, men den forbliver den mest oversete og afviste del af teknologistakken – hvilket skaber en perfekt katalysator for et angreb. Fire ud af fem er enige om, at firmware-sårbarheder er stigende, og tæt på alle (93%) angiver, at sikring af firmware bør være en presserende prioritet. For at flytte nålen mener finansielle organisationer næsten enstemmigt, at en stigning i investeringer og ressourcer er bydende nødvendigt. Positivt forventer respondenterne en stigning på 8.5 % i it-sikkerhedsbudget dedikeret til firmware i de næste 1-2 år. Ud over disse succesfaktorer skal disse organisationer også aflive myter omkring nuværende teknologier og metoder, der skaber en falsk følelse af sikkerhed, såsom:
- Sårbarhedsstyringsløsninger (81 %) og/eller deres endpoint detection and response (EDR) programmer kan identificere firmwaresårbarheder og hjælpe med afhjælpning (83 %).
- Trusselsmodelleringsøvelser er en pålidelig kilde til kyndig indsigt i potentielle firmwarehuller, ifølge 37 % af de adspurgte angiver 57 % at bruge processen noget af tiden. Interessant nok rapporterer 96%, at deres organisations trusselsmodelleringsøvelser ikke matcher nutidens trusselslandskab.
- 12 timer er den gennemsnitlige tid for it-teams at reagere på et firmware-baseret angreb, hvor respondenterne tilskriver manglende viden (39 %) og begrænsede ressourcer (37 %) som de vigtigste årsager til den unødvendige tid. 71 % hævder dog, at budget ikke er en faktor.
"Baseret på angrebet af firmware-relaterede angreb i løbet af de seneste måneder, er det tydeligt, at modstandere ikke behøver at arbejde hårdt nok for at udnytte fejlene i teknologiens forsyningskæde. Desværre repræsenterer vores forskningsdata en regression, der udelukkende er drevet af mangel på bevidsthed og passivitet drevet af 'ude af syne, ude af sind',” sagde Yuriy Bulygin, CEO og medstifter af Eclypsium. "Nye regeringsdirektiver og initiativer såsom CISA's Known Exploited Vulnerabilities Catalog og dets bindende operationelle direktiv er opfordringer til øjeblikkelig handling for bedre at beskytte det kritiske firmwarelag i forsyningskæden. Progressionen kan være langsom, men vi bevæger os i den rigtige retning."
OM ECLYPSIUM
Eclypsiums cloud-baserede platform identificerer, verificerer og forstærker firmware i bærbare computere, servere, netværksudstyr og tilsluttede enheder. Eclypsium-platformen sikrer din enhedsforsyningskæde ved at overvåge enheder for trusler, kritiske risici og patche firmware på tværs af hele enhedsflåden. For mere information, besøg eclypsium.com.
Om Vanson Bourne
Vanson Bourne er en uafhængig specialist i markedsundersøgelser til teknologisektoren. Deres ry for robuste og troværdige forskningsbaserede analyser er baseret på strenge forskningsprincipper og deres evne til at søge udtalelser fra senior beslutningstagere på tværs af tekniske og forretningsmæssige funktioner, i alle forretningssektorer og alle større markeder. For mere information, besøg
www.vansonbourne.com.
