Portland, Ore – 23. augusztus 2022
- Eclypsium®
és a Vanson Bourne today released a new report that reveals the financial sector is ill-equipped to effectively tackle the ongoing threat of firmware-related supply chain attacks. In fact, 92% of CISOs in finance believe adversaries are better equipped at weaponizing firmware than their teams are at securing it. Additionally, three out of four acknowledge gaps in awareness concerning the organization’s firmware blind spot. Consequently, 88% of those surveyed admit to experiencing a firmware-related cyberattack in the last two years alone.
Firmware biztonság a pénzügyi szolgáltatások ellátási láncaiban A jelentés a pénzügyi szektor 350 IT-biztonsági döntéshozójának meglátásait osztja meg, különösen az Egyesült Államokban, Kanadában, Szingapúrban, Ausztráliában, Új-Zélandon és Malajziában. Az eredmények nemcsak a firmware-biztonság állapotát, valamint a megelőző ellenőrzések vagy helyreállítási taktikák hiányát tárják fel, hanem rávilágítanak a jelenlegi biztonsági intézkedésekkel kapcsolatos elégedettségre és a tudatosság hiányára is. Még riasztóbb az a konszenzus, hogy kevés vagy egyáltalán nincs dedikált befektetés vagy erőforrás, és általános a készségek hiánya a mai kiberbiztonság egyik legnagyobb fenyegetésének leküzdéséhez. Az adatok azt mutatják:
- Több mint fele (55%) volt az elmúlt két évben többször is firmware-szintű kompromisszum áldozata.
- 10-ből csaknem négy esetben adatvesztés (és GDPR-sértés) a támadások vezető következménye; Hasonlóan rangsorolható a kritikus biztonsági ellenőrzések elvesztésétől való félelem.
- A kritikus eszközök megsemmisülését (35%), az ügyfelek elvesztését (34%) és az ellenfél más eszközökhöz való hozzáférését (34%) egyaránt megjegyezték, mint egy firmware-hez kapcsolódó támadást követő káros hatást.
“Financial Services organizations are leading targets of cyberattacks. That explains why they are vanguards for adopting new protection technologies, all while under the constant watchful eye of regulators and other industries waiting to follow their lead as they strive to combat ever evolving attack vectors. Yet in the case of securing firmware and the hardware supply chain, we are seeing potential blind spots,” said Ramy Houssaini, Global Cyber Resilience Executive. “A shift in priorities is critical if we are going to effectively protect the technology supply chain. Financial organizations must continue to serve as trailblazers and close the firmware security gap.”
A pénzügyi szervezetek nem rendelkeznek megfelelő firmware-kockázati ismeretekkel a cselekvéshez
A Nemzeti Szabványügyi és Technológiai Intézet (NIST) szerint a firmware szintű támadások 500%-kal megugrottak 2018 óta, a válaszadók 93%-át mégis meglepte, hogy nincs rálátásuk a jelenlegi firmware-fenyegetésekre. Csak az elmúlt nyolc hónapban az Eclypsium Research feltárt egy nagyot vad fenyegetések, beleértve Az Intel ME támadása a Conti ransomware csoporttól.
Sajnos a betekintés hiánya a firmware és az ellátási lánc ismereteinek jelentős hiányosságaiból fakad. Valójában:
- Valamivel több mint a fele (53%) tudja, hogy biztonsági vezérlői (tűzfalak, hozzáférés-szabályozások stb.) firmware-re támaszkodnak, 44% tisztában van azzal, ha ugyanezt a kérdést teszik fel a laptopokkal kapcsolatban, így 56% tájékozatlan marad.
- 47% believe they have total awareness of their organization’s overall firmware attack surface, 49% are mostly aware. Only 39% say they would be immediately informed if a device had been compromised.
Despite the perceived knowledge, 91% are concerned about the gap in firmware security in their organization’s supply chain.
A tévhitek, a korlátozott források és a készségek/erőforrások hiánya túlfeszültséget okoz
A firmware minden eszköz és így a teljes ellátási lánc legalapvetőbb összetevője, mégis a technológiai halom leginkább figyelmen kívül hagyott és figyelmen kívül hagyott része – tökéletes katalizátort teremtve egy támadáshoz. Ötből négy egyetért azzal, hogy a firmware sebezhetősége egyre növekszik, és majdnem mindenki (93%) azt állítja, hogy a firmware biztonságának sürgős prioritásnak kell lennie. A tű mozgatásához a pénzügyi szervezetek szinte egyöntetűen úgy vélik, hogy elengedhetetlen a befektetések és a források növelése. Pozitívum, hogy a válaszadók 8.5%-os növekedést várnak a firmware-ekre szánt IT-biztonsági költségvetésben a következő 1-2 évben. A siker ezen tényezői mellett ezeknek a szervezeteknek el kell oszlatniuk a jelenlegi technológiákkal és módszerekkel kapcsolatos mítoszokat is, amelyek hamis biztonságérzetet keltenek, mint például:
- A sérülékenység-kezelési megoldások (81%) és/vagy a végpont-észlelési és válaszadási (EDR) programjaik azonosíthatják a firmware-sebezhetőségeket, és segíthetnek a helyreállításban (83%).
- Threat modeling exercises are a reliable source of knowledgeable insight into potential firmware gaps, according to 37% of respondents, 57% state using the process some of the time. Interestingly, 96% report their organization’s threat modeling exercises do not match today’s threat landscape.
- Az IT-csapatok átlagosan 12 óra alatt reagálnak egy firmware-alapú támadásra, és a válaszadók az ismeretek hiányát (39%) és az erőforrások korlátozottságát (37%) tartják az idő indokolatlan hosszúságának legfőbb okának. 71%-ban azonban a költségvetés nem számít.
“Based on the onslaught of firmware-related attacks over the recent months, it’s evident that adversaries are not having to work hard enough to exploit flaws in the technology supply chain. Unfortunately, our research data represents a regression that is purely driven by lack of awareness and the inaction driven by ‘out of sight, out of mind,’ ” said Yuriy Bulygin, CEO and Co-Founder of Eclypsium. “New government directives and initiatives such as CISA’s Known Exploited Vulnerabilities Catalog and its Binding Operational Directive are calls for immediate action to better safeguard the critical firmware layer of the supply chain. Progression might be slow, but we are moving in the right direction.”
AZ ECLYPSIUMRÓL
Eclypsium’s cloud-based platform identifies, verifies, and fortifies firmware in laptops, servers, network gear, and connected devices. The Eclypsium platform secures your device supply chain by monitoring devices for threats, critical risks, and patching firmware across the entire device fleet. For more information, visit eclypsium.com.
Vanson Bourne-ról
A Vanson Bourne a technológiai szektor piackutatásának független szakértője. A robusztus és hiteles, kutatáson alapuló elemzés terén szerzett hírnevük a szigorú kutatási elveken és azon a képességükön alapul, hogy kikérik a vezető döntéshozók véleményét a műszaki és üzleti funkciókban, minden üzleti szektorban és minden főbb piacon. További információért látogasson el
www.vansonbourne.com.
