Αναφορά: Τα χρηματοπιστωτικά ιδρύματα κατακλύζονται όταν αντιμετωπίζουν αυξανόμενες απειλές για την ασφάλεια υλικολογισμικού και την αλυσίδα εφοδιασμού

Portland, Ore. – 23 Αυγούστου 2022
- Εκλύσιο^®
και Βάνσον Μπορν κυκλοφόρησε σήμερα μια νέα έκθεση που αποκαλύπτει ότι ο χρηματοπιστωτικός τομέας δεν είναι καλά εξοπλισμένος για να αντιμετωπίσει αποτελεσματικά τη συνεχιζόμενη απειλή επιθέσεων στην αλυσίδα εφοδιασμού που σχετίζονται με το υλικολογισμικό. Στην πραγματικότητα, το 92% των CISO στον χρηματοοικονομικό τομέα πιστεύει ότι οι αντίπαλοι είναι καλύτερα εξοπλισμένοι για να οπλίσουν το υλικολογισμικό από ότι οι ομάδες τους για να το ασφαλίσουν. Επιπλέον, τρεις στους τέσσερις αναγνωρίζουν κενά στην ευαισθητοποίηση σχετικά με το τυφλό σημείο του υλικολογισμικού του οργανισμού. Κατά συνέπεια, το 88% των ερωτηθέντων παραδέχεται ότι υπέστη κυβερνοεπίθεση που σχετίζεται με το υλικολογισμικό μόνο τα τελευταία δύο χρόνια.

Η ασφάλεια υλικολογισμικού στις Εφοδιαστικές Αλυσίδες Χρηματοοικονομικών Υπηρεσιών Η έκθεση μοιράζεται πληροφορίες από 350 υπεύθυνους λήψης αποφάσεων για την ασφάλεια της πληροφορικής στον χρηματοπιστωτικό τομέα, ειδικά εκείνους που εδρεύουν στις ΗΠΑ, τον Καναδά, τη Σιγκαπούρη, την Αυστραλία, τη Νέα Ζηλανδία και τη Μαλαισία. Τα ευρήματα όχι μόνο εκθέτουν την κατάσταση της ασφάλειας του υλικολογισμικού και την έλλειψη προληπτικών ελέγχων ή τακτικών αποκατάστασης, αλλά φωτίζουν επίσης τον εφησυχασμό και την έλλειψη ευαισθητοποίησης σχετικά με τα τρέχοντα μέτρα ασφαλείας. Πιο ανησυχητική είναι η συναίνεση γύρω από ελάχιστες έως καθόλου αποκλειστικές επενδύσεις ή πόρους και η γενική έλλειψη δεξιοτήτων για την αντιμετώπιση μιας από τις μεγαλύτερες απειλές στην ασφάλεια στον κυβερνοχώρο σήμερα. Τα δεδομένα δείχνουν:

• Πάνω από το ήμισυ (55%) ήταν θύματα συμβιβασμού σε επίπεδο υλικολογισμικού περισσότερες από μία φορές τα τελευταία δύο χρόνια.
• Σχεδόν τέσσερα στα 10 ποσοστά απώλειας δεδομένων (και παραβίασης του GDPR) ως η κύρια συνέπεια για μια επίθεση. εξίσου κατατάσσεται ο φόβος της απώλειας κρίσιμων ελέγχων ασφαλείας.
• Η καταστροφή κρίσιμων συσκευών (35%), η απώλεια πελατών (34%) και η πρόσβαση αντιπάλου σε άλλες συσκευές (34%) σημειώθηκαν εξίσου ως επιζήμιες επιπτώσεις μετά από μια επίθεση που σχετίζεται με το υλικολογισμικό.

«Οι οργανισμοί χρηματοοικονομικών υπηρεσιών αποτελούν κορυφαίους στόχους κυβερνοεπιθέσεων. Αυτό εξηγεί γιατί είναι πρωτοπόροι για την υιοθέτηση νέων τεχνολογιών προστασίας, ενώ βρίσκονται υπό το συνεχές άγρυπνο βλέμμα των ρυθμιστικών αρχών και άλλων βιομηχανιών που περιμένουν να ακολουθήσουν το παράδειγμά τους καθώς προσπαθούν να καταπολεμήσουν τους συνεχώς εξελισσόμενους φορείς επίθεσης. Ωστόσο, στην περίπτωση της διασφάλισης του υλικολογισμικού και της εφοδιαστικής αλυσίδας υλικού, βλέπουμε πιθανά τυφλά σημεία», δήλωσε ο Ramy Houssaini, Global Cyber ​​Resilience Executive. «Μια αλλαγή προτεραιοτήτων είναι κρίσιμη εάν πρόκειται να προστατεύσουμε αποτελεσματικά την αλυσίδα εφοδιασμού τεχνολογίας. Οι χρηματοπιστωτικοί οργανισμοί πρέπει να συνεχίσουν να λειτουργούν ως πρωτοπόροι και να καλύψουν το χάσμα ασφαλείας του υλικολογισμικού».

Οι χρηματοπιστωτικοί οργανισμοί δεν διαθέτουν πληροφορίες κινδύνου υλικολογισμικού για δράση

Σύμφωνα με το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST), οι επιθέσεις σε επίπεδο υλικολογισμικού έχουν αυξηθεί κατά 500% από το 2018, ωστόσο το 93% των ερωτηθέντων εκπλήσσεται από την έλλειψη γνώσης σχετικά με τις τρέχουσες απειλές υλικολογισμικού. Μόνο τους τελευταίους οκτώ μήνες, η Eclypsium Research έχει αποκαλύψει σημαντικές απειλές στη φύση, συμπεριλαμβανομένου Επιθέσεις Intel ME από την ομάδα ransomware Conti.
Δυστυχώς, η έλλειψη γνώσης πηγάζει από σημαντικά κενά στη γνώση του υλικολογισμικού και της αλυσίδας εφοδιασμού. Στην πραγματικότητα:

• Λίγο περισσότεροι από τους μισούς (53%) γνωρίζουν ότι τα στοιχεία ελέγχου ασφαλείας τους (τείχη προστασίας, στοιχεία ελέγχου πρόσβασης κ.λπ.) βασίζονται στο υλικολογισμικό, το 44% γνωρίζει όταν τίθεται η ίδια ερώτηση για φορητούς υπολογιστές, αφήνοντας το 56% ανενημέρωτο.
• Το 47% πιστεύει ότι έχει πλήρη επίγνωση της συνολικής επιφάνειας επίθεσης υλικολογισμικού του οργανισμού τους, ενώ το 49% είναι κυρίως ενήμερο. Μόνο το 39% λέει ότι θα ενημερωνόταν αμέσως εάν μια συσκευή είχε παραβιαστεί.

Παρά την αντιληπτή γνώση, το 91% ανησυχεί για το κενό στην ασφάλεια υλικολογισμικού στην αλυσίδα εφοδιασμού του οργανισμού τους.

Οι παρανοήσεις, τα περιορισμένα κεφάλαια και η έλλειψη δεξιοτήτων/πόρων προκαλούν έξαρση

Το υλικολογισμικό είναι το πιο θεμελιώδες συστατικό οποιασδήποτε συσκευής και, επομένως, η συνολική αλυσίδα εφοδιασμού, ωστόσο παραμένει το πιο αγνοημένο και απορριφθέν μέρος της στοίβας τεχνολογίας — δημιουργώντας έναν τέλειο καταλύτη για μια επίθεση. Τέσσερις στους πέντε συμφωνούν ότι οι ευπάθειες υλικολογισμικού αυξάνονται και σχεδόν όλοι (93%) δηλώνουν ότι η ασφάλεια του υλικολογισμικού πρέπει να αποτελεί επείγουσα προτεραιότητα. Για να κινηθεί η βελόνα, οι χρηματοπιστωτικοί οργανισμοί σχεδόν ομόφωνα πιστεύουν ότι η αύξηση των επενδύσεων και των πόρων είναι επιτακτική. Θετικά, οι ερωτηθέντες αναμένουν αύξηση 8.5% στον προϋπολογισμό ασφάλειας IT που αφιερώνεται στο υλικολογισμικό τα επόμενα 1-2 χρόνια. Εκτός από αυτούς τους παράγοντες επιτυχίας, αυτοί οι οργανισμοί πρέπει επίσης να καταρρίψουν μύθους σχετικά με τις τρέχουσες τεχνολογίες και μεθόδους που δημιουργούν μια ψευδή αίσθηση ασφάλειας, όπως:

• Οι λύσεις διαχείρισης ευπάθειας (81%) ή/και τα προγράμματα εντοπισμού και απόκρισης τελικού σημείου τους (EDR) μπορούν να εντοπίσουν ευπάθειες υλικολογισμικού και να βοηθήσουν στην αποκατάσταση (83%).
• Οι ασκήσεις μοντελοποίησης απειλών είναι μια αξιόπιστη πηγή γνώσης για πιθανά κενά υλικολογισμικού, σύμφωνα με το 37% των ερωτηθέντων, ενώ το 57% δηλώνει ότι χρησιμοποιεί τη διαδικασία μερικές φορές. Είναι ενδιαφέρον ότι το 96% αναφέρει ότι οι ασκήσεις μοντελοποίησης απειλών του οργανισμού τους δεν ταιριάζουν με το σημερινό τοπίο απειλών.
• Οι 12 ώρες είναι ο μέσος χρόνος ανταπόκρισης των ομάδων πληροφορικής σε μια επίθεση που βασίζεται σε υλικολογισμικό, με τους ερωτηθέντες να αποδίδουν την έλλειψη γνώσης (39%) και τους περιορισμένους πόρους (37%) ως τους κύριους λόγους για την αδικαιολόγητη χρονική διάρκεια. Το 71%, ωστόσο, ο προϋπολογισμός αξίωσης δεν είναι παράγοντας.

«Με βάση την επίθεση επιθέσεων που σχετίζονται με το υλικολογισμικό τους τελευταίους μήνες, είναι προφανές ότι οι αντίπαλοι δεν χρειάζεται να εργαστούν αρκετά σκληρά για να εκμεταλλευτούν ελαττώματα στην αλυσίδα εφοδιασμού τεχνολογίας. Δυστυχώς, τα ερευνητικά μας δεδομένα αντιπροσωπεύουν μια οπισθοδρόμηση που οφείλεται καθαρά στην έλλειψη επίγνωσης και στην αδράνεια που προκαλείται από «εκτός οπτικής γωνίας, εκτός νου», δήλωσε ο Yuriy Bulygin, Διευθύνων Σύμβουλος και Συνιδρυτής της Eclypsium. «Οι νέες κυβερνητικές οδηγίες και πρωτοβουλίες, όπως ο κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών της CISA και η δεσμευτική επιχειρησιακή της οδηγία, αποτελούν έκκληση για άμεση δράση για την καλύτερη προστασία του κρίσιμου επιπέδου υλικολογισμικού της αλυσίδας εφοδιασμού. Η πρόοδος μπορεί να είναι αργή, αλλά κινούμαστε προς τη σωστή κατεύθυνση».

ΠΕΡΙ ΕΚΛΥΨΙΟΥ

Η πλατφόρμα του Eclypsium που βασίζεται σε σύννεφο προσδιορίζει, επαληθεύει και ενισχύει το υλικολογισμικό σε φορητούς υπολογιστές, διακομιστές, εξοπλισμό δικτύου και συνδεδεμένες συσκευές. Η πλατφόρμα Eclypsium προστατεύει την αλυσίδα εφοδιασμού της συσκευής σας παρακολουθώντας συσκευές για απειλές, κρίσιμους κινδύνους και επιδιορθώνοντας το υλικολογισμικό σε ολόκληρο τον στόλο συσκευών. Για περισσότερες πληροφορίες, επισκεφθείτε eclypsium.com.

Σχετικά με τον Vanson Bourne

Ο Vanson Bourne είναι ανεξάρτητος ειδικός στην έρευνα αγοράς για τον τεχνολογικό τομέα. Η φήμη τους για ισχυρή και αξιόπιστη ανάλυση που βασίζεται στην έρευνα βασίζεται σε αυστηρές αρχές έρευνας και στην ικανότητά τους να αναζητούν τη γνώμη των ανώτερων υπευθύνων λήψης αποφάσεων σε τεχνικές και επιχειρηματικές λειτουργίες, σε όλους τους επιχειρηματικούς τομείς και σε όλες τις μεγάλες αγορές. Για περισσότερες πληροφορίες, επισκεφθείτε
www.vansonbourne.com.