Portland, Ore – 23. august 2022
- Eklüpsium®
ja Vanson Bourne avaldas täna uue aruande, mis paljastab, et finantssektor on halvasti varustatud püsivaraga seotud tarneahela rünnakute jätkuva ohuga tõhusalt võitlemiseks. Tegelikult usub 92% finantssektori CISO-dest, et vastased on püsivara relvastamiseks paremini varustatud kui nende meeskonnad seda kaitsma. Lisaks tunnistavad kolm neljast teadlikkuses lünki seoses organisatsiooni püsivara pimealaga. Järelikult tunnistab 88% küsitletutest, et on ainuüksi viimase kahe aasta jooksul kogenud püsivaraga seotud küberrünnakut.
Püsivara turvalisus finantsteenuste tarneahelates aruanne jagab teadmisi 350 IT-turbe otsustajalt finantssektoris, eriti nendelt, kes asuvad USA-s, Kanadas, Singapuris, Austraalias, Uus-Meremaal ja Malaisias. Leiud ei paljasta mitte ainult püsivara turbeseisundit ja ennetavate kontrollide või parandustaktikate puudumist, vaid heidavad valgust ka rahulolule ja teadlikkuse puudumisele praeguste turvameetmete kohta. Veelgi murettekitavam on üksmeel selle üle, et investeeringuid või ressursse on vähe või üldse mitte, ning üldiste oskuste puudumise üle, et võidelda ühe tänapäeva suurima küberjulgeoleku ohuga. Andmed näitavad:
- Üle poole (55%) on viimase kahe aasta jooksul rohkem kui üks kord püsivara tasemel kompromissi ohvriks langenud.
- Peaaegu neli 10-st määravad andmete kadumise (ja GDPR-i rikkumise) kui rünnaku peamise tagajärje; võrdselt kohal on hirm kaotada kriitilised turvakontrollid.
- Kriitiliste seadmete hävitamine (35%), klientide kaotamine (34%) ja vastase juurdepääs teistele seadmetele (34%) olid kõik võrdselt märgitud püsivaraga seotud rünnakute kahjulikuks mõjuks.
„Finantsteenuste organisatsioonid on küberrünnakute peamised sihtmärgid. See selgitab, miks nad on uute kaitsetehnoloogiate kasutuselevõtul eesrindlased, olles samal ajal regulaatorite ja teiste tööstusharude pideva valvsa pilgu all, kes ootavad nende eeskuju järgimist, kui nad püüavad võidelda pidevalt arenevate rünnakuvektoritega. Kuid püsivara ja riistvara tarneahela turvalisuse puhul näeme potentsiaalseid pimealasid, ”ütles ülemaailmse kübervastupidavuse juht Ramy Houssaini. "Prioriteetide nihe on ülioluline, kui kavatseme tehnoloogia tarneahelat tõhusalt kaitsta. Finantsorganisatsioonid peavad jätkuvalt tegutsema teerajajana ja kaotama püsivara turvalünga.
Finantsorganisatsioonidel pole püsivara riskiteavet tegutsemiseks
Riikliku standardite ja tehnoloogia instituudi (NIST) andmetel on püsivara taseme rünnakud alates 500. aastast kasvanud 2018%, kuid 93% vastanutest on üllatunud, et praeguste püsivaraohtude kohta puudub ülevaade. Ainuüksi viimase kaheksa kuu jooksul on Eclypsium Research avastanud olulisi looduslikud ohud, kaasa arvatud Intel ME rünnakud Conti lunavaragrupi poolt.
Kahjuks tuleneb arusaamise puudumine märkimisväärsetest lünkadest püsivara ja tarneahela teadmistes. Tegelikult:
- Veidi üle poole (53%) teavad, et nende turvakontroll (tulemüürid, juurdepääsukontroll jne) tugineb püsivarale, 44% on teadlikud, kui neile esitatakse sama küsimus sülearvutite kohta, jättes 56% teadmata.
- 47% usub, et nad on oma organisatsiooni üldisest püsivara ründepinnast täielikult teadlikud, 49% on enamasti teadlikud. Ainult 39% ütleb, et neid teavitataks kohe, kui seade oleks sattunud ohtu.
Vaatamata tajutud teadmistele on 91% mures oma organisatsiooni tarneahela püsivara turvalisuse puudujäägi pärast.
Väärarusaamad, piiratud rahalised vahendid ja oskuste/ressursside puudumine on hoogu suurendama
Püsivara on mis tahes seadme ja seega ka kogu tarneahela kõige olulisem komponent, kuid see jääb tehnoloogiavirna kõige tähelepanuta jäetud ja kõrvalejäetud osaks – luues täiusliku rünnaku katalüsaatori. Neli viiest nõustub, et püsivara haavatavused on tõusuteel ja peaaegu kõik (93%) väidavad, et püsivara turvamine peaks olema kiireloomuline prioriteet. Nõela liigutamiseks usuvad finantsorganisatsioonid peaaegu üksmeelselt, et investeeringute ja ressursside suurendamine on hädavajalik. Positiivselt ootavad vastajad püsivarale pühendatud IT-turbe eelarve suurenemist 8.5% võrra järgmise 1-2 aasta jooksul. Lisaks nendele eduteguritele peavad need organisatsioonid hajutama ka müüte praeguste tehnoloogiate ja meetodite kohta, mis loovad vale turvatunde, näiteks:
- Haavatavuse haldamise lahendused (81%) ja/või nende lõpp-punkti tuvastamise ja reageerimise (EDR) programmid suudavad tuvastada püsivara haavatavusi ja aidata nende parandamisel (83%).
- 37% vastanute sõnul on ohtude modelleerimise harjutused usaldusväärne allikas teadliku ülevaate saamiseks võimalikest püsivara lünkadest, 57% väidab, et kasutab seda protsessi osa ajast. Huvitav on see, et 96% teatab, et nende organisatsiooni ohtude modelleerimise harjutused ei vasta tänapäeva ohumaastikule.
- 12 tundi on IT-meeskondade keskmine aeg püsivarapõhisele rünnakule reageerimiseks, kusjuures vastajad nimetasid teadmiste puudumist (39%) ja ressursside piiratust (37%) liigse aja pikkuse peamiseks põhjuseks. 71%, kuid nõude eelarve ei ole tegur.
"Viimaste kuude püsivaraga seotud rünnakute põhjal on ilmne, et vastased ei pea tehnoloogia tarneahelas esinevate puuduste ärakasutamiseks piisavalt palju tööd tegema. Kahjuks näitavad meie uurimisandmed taandarengut, mis on ajendatud üksnes teadlikkuse puudumisest ja tegevusetusest, mille põhjuseks on „silmist ära, meelest ära”, ”ütles Eclypsiumi tegevjuht ja kaasasutaja Juri Bulygin. „Uued valitsuse direktiivid ja algatused, nagu CISA tuntud ärakasutatud haavatavuste kataloog ja selle siduv tegevusdirektiiv, nõuavad viivitamatut tegutsemist, et paremini kaitsta tarneahela kriitilist püsivarakihti. Edenemine võib olla aeglane, kuid me liigume õiges suunas.
EKLYPSIUMI KOHTA
Eclypsiumi pilvepõhine platvorm tuvastab, kontrollib ja tugevdab püsivara sülearvutites, serverites, võrguseadmetes ja ühendatud seadmetes. Eclypsiumi platvorm kaitseb teie seadme tarneahelat, jälgides seadmeid ohtude ja kriitiliste riskide suhtes ning parandades püsivara kogu seadmepargi ulatuses. Lisateabe saamiseks külastage eclypsium.com.
Vanson Bourne'i kohta
Vanson Bourne on sõltumatu tehnoloogiasektori turu-uuringute spetsialist. Nende maine jõulise ja usaldusväärse teaduspõhise analüüsi alal põhineb rangetel uurimispõhimõtetel ja võimel küsida kõrgemate otsustajate arvamusi tehniliste ja ärifunktsioonide lõikes, kõikidel ärisektoritel ja kõigil suurematel turgudel. Lisateabe saamiseks külastage
www.vansonbourne.com.
