Informe: las instituciones financieras se ven abrumadas cuando se enfrentan a amenazas cada vez mayores en la cadena de suministro y la seguridad del firmware

Portland, Oregon – 23 de agosto de 2022
– eclipsio^®
y vanson bourne publicó hoy un nuevo informe que revela que el sector financiero está mal equipado para abordar de manera efectiva la amenaza constante de los ataques a la cadena de suministro relacionados con el firmware. De hecho, el 92% de los CISO en finanzas creen que los adversarios están mejor equipados para armar el firmware que sus equipos para asegurarlo. Además, tres de cada cuatro reconocen lagunas en el conocimiento sobre el punto ciego del firmware de la organización. En consecuencia, el 88 % de los encuestados admite haber experimentado un ciberataque relacionado con el firmware solo en los últimos dos años.

La seguridad del firmware en las cadenas de suministro de servicios financieros El informe comparte información de 350 responsables de la toma de decisiones de seguridad de TI en el sector financiero, específicamente aquellos con sede en EE. UU., Canadá, Singapur, Australia, Nueva Zelanda y Malasia. Los hallazgos no solo exponen el estado de la seguridad del firmware y la falta de controles preventivos o tácticas de remediación, sino que también arrojan luz sobre la complacencia y la falta de conocimiento sobre las medidas de seguridad actuales. Más alarmante es el consenso en torno a la poca o ninguna inversión o recursos dedicados, y la falta general de habilidades para abordar una de las mayores amenazas en la ciberseguridad en la actualidad. Los datos muestran:

• Más de la mitad (55%) fueron víctimas de un compromiso a nivel de firmware más de una vez en los últimos dos años.
• Casi cuatro de cada 10 califican la pérdida de datos (y una violación de GDPR) como la principal consecuencia de un ataque; igualmente clasificado es el miedo a perder los controles de seguridad críticos.
• La destrucción de dispositivos críticos (35 %), la pérdida de clientes (34 %) y el acceso de adversarios a otros dispositivos (34 %) se señalaron igualmente como un impacto perjudicial después de un ataque relacionado con el firmware.

“Las organizaciones de servicios financieros son los principales objetivos de los ciberataques. Eso explica por qué están a la vanguardia en la adopción de nuevas tecnologías de protección, todo bajo la constante vigilancia de los reguladores y otras industrias que esperan seguir su ejemplo en su lucha por combatir los vectores de ataque en constante evolución. Sin embargo, en el caso de asegurar el firmware y la cadena de suministro de hardware, estamos viendo posibles puntos ciegos”, dijo Ramy Houssaini, Ejecutivo de Resiliencia Cibernética Global. “Un cambio en las prioridades es fundamental si vamos a proteger de manera efectiva la cadena de suministro de tecnología. Las organizaciones financieras deben continuar sirviendo como pioneras y cerrar la brecha de seguridad del firmware”.

Las organizaciones financieras carecen de información sobre riesgos de firmware para actuar

Según el Instituto Nacional de Estándares y Tecnología (NIST), los ataques a nivel de firmware se han disparado en un 500 % desde 2018; sin embargo, el 93 % de los encuestados está sorprendido por la falta de información sobre las amenazas de firmware actuales. Solo en los últimos ocho meses, Eclypsium Research ha descubierto importantes amenazas en estado salvaje, de alta calidad que incluyen Ataques Intel ME por parte del grupo de ransomware Conti.
Desafortunadamente, la falta de conocimiento se debe a lagunas considerables en el conocimiento del firmware y la cadena de suministro. De hecho:

• Un poco más de la mitad (53 %) sabe que sus controles de seguridad (cortafuegos, controles de acceso, etc.) se basan en firmware, el 44 % lo sabe cuando se le hace la misma pregunta sobre las computadoras portátiles, lo que deja al 56 % desinformado.
• El 47 % cree que tiene un conocimiento total de la superficie de ataque del firmware general de su organización, el 49 % lo sabe en su mayoría. Solo el 39% dice que se les informaría de inmediato si un dispositivo se hubiera visto comprometido.

A pesar del conocimiento percibido, el 91 % está preocupado por la brecha en la seguridad del firmware en la cadena de suministro de su organización.

Los conceptos erróneos, los fondos limitados y la falta de habilidades/recursos están impulsando el aumento

El firmware es el componente más fundamental de cualquier dispositivo y, por lo tanto, de la cadena de suministro general, pero sigue siendo la parte más ignorada y descartada de la pila de tecnología, lo que crea un catalizador perfecto para un ataque. Cuatro de cada cinco están de acuerdo en que las vulnerabilidades del firmware van en aumento y casi todos (93 %) afirman que proteger el firmware debe ser una prioridad urgente. Para mover la aguja, las organizaciones financieras creen casi unánimemente que es imperativo un aumento en la inversión y los recursos. De manera positiva, los encuestados anticipan un aumento del 8.5 % en el presupuesto de seguridad de TI dedicado al firmware en los próximos 1 o 2 años. Además de estos factores de éxito, estas organizaciones también deben disipar los mitos sobre las tecnologías y los métodos actuales que crean una falsa sensación de seguridad, como:

• Las soluciones de gestión de vulnerabilidades (81 %) y/o sus programas de detección y respuesta de punto final (EDR) pueden identificar vulnerabilidades de firmware y ayudar en la reparación (83 %).
• Los ejercicios de modelado de amenazas son una fuente confiable de conocimiento informado sobre posibles brechas de firmware, según el 37% de los encuestados, el 57% afirma usar el proceso algunas veces. Curiosamente, el 96% informa que los ejercicios de modelado de amenazas de su organización no coinciden con el panorama de amenazas actual.
• 12 horas es el tiempo promedio que tardan los equipos de TI en responder a un ataque basado en firmware, y los encuestados atribuyen la falta de conocimiento (39 %) y los recursos limitados (37 %) como las principales razones del tiempo indebido. Sin embargo, el 71% afirma que el presupuesto no es un factor.

“Basándonos en la avalancha de ataques relacionados con el firmware en los últimos meses, es evidente que los adversarios no tienen que esforzarse lo suficiente para explotar las fallas en la cadena de suministro de tecnología. Desafortunadamente, los datos de nuestra investigación representan una regresión impulsada puramente por la falta de conciencia y la inacción impulsada por 'fuera de la vista, fuera de la mente'”, dijo Yuriy Bulygin, director ejecutivo y cofundador de Eclypsium. “Las nuevas directivas e iniciativas gubernamentales, como el Catálogo de vulnerabilidades explotadas conocidas de CISA y su Directiva operativa vinculante, son llamados a la acción inmediata para proteger mejor la capa crítica de firmware de la cadena de suministro. La progresión puede ser lenta, pero nos estamos moviendo en la dirección correcta”.

ACERCA DEL ECLIPSIO

La plataforma basada en la nube de Eclypsium identifica, verifica y fortalece el firmware en computadoras portátiles, servidores, equipos de red y dispositivos conectados. La plataforma Eclypsium protege la cadena de suministro de su dispositivo al monitorear los dispositivos en busca de amenazas, riesgos críticos y parchear el firmware en toda la flota de dispositivos. Para más información visite eclypsium.com.

Acerca de Vanson Bourne

Vanson Bourne es especialista independiente en investigación de mercado para el sector tecnológico. Su reputación de análisis sólido y creíble basado en la investigación se basa en principios de investigación rigurosos y su capacidad para buscar las opiniones de los principales responsables de la toma de decisiones en funciones técnicas y comerciales, en todos los sectores comerciales y en todos los mercados principales. Para más información visite
www.vansonbourne.com.