오리건주 포틀랜드 - 23년 2022월 XNUMX일
- 이클립시움®
과 반슨 본 오늘 금융 부문이 펌웨어 관련 공급망 공격의 지속적인 위협에 효과적으로 대처할 수 있는 능력이 부족하다는 새로운 보고서를 발표했습니다. 실제로 금융 분야 CISO의 92%는 적들이 팀이 펌웨어를 보호하는 것보다 펌웨어를 무기화하는 데 더 능숙하다고 생각합니다. 또한 88명 중 XNUMX명은 조직의 펌웨어 사각지대에 대한 인식의 차이를 인정했습니다. 결과적으로 조사 대상자의 XNUMX%가 지난 XNUMX년 동안에만 펌웨어 관련 사이버 공격을 경험했다고 인정했습니다.
금융 서비스 공급망의 펌웨어 보안 이 보고서는 금융 부문, 특히 미국, 캐나다, 싱가포르, 호주, 뉴질랜드 및 말레이시아에 기반을 둔 350명의 IT 보안 의사 결정권자의 통찰력을 공유합니다. 이 조사 결과는 펌웨어 보안 상태와 예방 제어 또는 수정 전술의 부족을 드러낼 뿐만 아니라 현재 보안 조치에 대한 안일함과 인식 부족을 밝혀줍니다. 더 놀라운 점은 전용 투자나 리소스가 거의 없거나 전혀 없으며 오늘날 사이버 보안에서 가장 큰 위협 중 하나를 해결할 수 있는 일반적인 기술 부족에 대한 합의입니다. 데이터는 다음을 보여줍니다.
- 절반 이상(55%)이 지난 XNUMX년 동안 한 번 이상 펌웨어 수준 손상의 피해자였습니다.
- 거의 10명 중 XNUMX명은 데이터 손실(및 GDPR 위반)을 공격의 주요 결과로 평가했습니다. 중요한 보안 제어 기능을 잃을 수 있다는 두려움도 동등하게 순위가 매겨졌습니다.
- 중요한 장치의 파괴(35%), 고객 손실(34%) 및 다른 장치에 대한 공격자의 액세스(34%)는 모두 펌웨어 관련 공격에 따른 해로운 영향으로 나타났습니다.
“금융 서비스 조직은 사이버 공격의 주요 대상입니다. 그렇기 때문에 그들이 새로운 보호 기술을 채택하는 데 앞장서고 있는 이유는 계속 진화하는 공격 벡터에 맞서기 위해 노력하면서 규제 당국과 다른 업계가 그들의 선례를 따르고자 끊임없이 감시하고 있기 때문입니다. 그러나 펌웨어 및 하드웨어 공급망 보안의 경우 잠재적인 맹점을 보고 있습니다.”라고 Global Cyber Resilience Executive인 Ramy Houssaini가 말했습니다. “기술 공급망을 효과적으로 보호하려면 우선순위를 바꾸는 것이 중요합니다. 금융 기관은 계속해서 선구자 역할을 하고 펌웨어 보안 격차를 줄여야 합니다.”
금융 조직은 조치를 취할 펌웨어 위험 통찰력이 부족합니다.
NIST(National Institute of Standards and Technology)에 따르면 펌웨어 수준 공격은 500년 이후 2018% 증가했지만 응답자의 93%는 현재 펌웨어 위협에 대한 통찰력이 부족하다는 점에 놀랐습니다. Eclypsium Research는 지난 XNUMX개월 동안에만 주요 야생의 위협, ...을 포함하여 Conti 랜섬웨어 그룹의 Intel ME 공격.
안타깝게도 통찰력 부족은 펌웨어 및 공급망에 대한 지식의 상당한 격차에서 비롯됩니다. 사실은:
- 절반이 약간 넘는(53%) 보안 제어(방화벽, 액세스 제어 등)가 펌웨어에 의존한다는 것을 알고 있고, 44%는 랩톱에 대해 동일한 질문을 받았을 때 인식하고 있으며, 56%는 알지 못합니다.
- 47%는 조직의 전반적인 펌웨어 공격 표면을 완전히 알고 있다고 믿으며 49%는 대부분 알고 있습니다. 39%만이 장치가 손상되면 즉시 알릴 것이라고 말했습니다.
인지된 지식에도 불구하고 91%는 조직의 공급망에서 펌웨어 보안의 격차에 대해 우려하고 있습니다.
오해, 제한된 자금, 기술/자원 부족이 급증을 주도하고 있습니다.
펌웨어는 모든 장치의 가장 기본적인 구성 요소이므로 전체 공급망이지만 기술 스택에서 가장 간과되고 무시되는 부분으로 남아 있어 공격을 위한 완벽한 촉매제를 만듭니다. 93명 중 8.5명은 펌웨어 취약성이 증가하고 있으며 펌웨어 보안이 시급한 우선 순위가 되어야 한다고 모두(1%)에 동의했습니다. 바늘을 움직이기 위해 금융 기관은 거의 만장일치로 투자와 자원의 증가가 필수적이라고 생각합니다. 긍정적으로 응답자들은 향후 2~XNUMX년 동안 펌웨어 전용 IT 보안 예산이 XNUMX% 증가할 것으로 예상합니다. 성공을 위한 이러한 요소 외에도 이러한 조직은 다음과 같이 잘못된 보안 감각을 생성하는 현재 기술 및 방법에 대한 신화를 없애야 합니다.
- 취약성 관리 솔루션(81%) 및/또는 엔드포인트 탐지 및 대응(EDR) 프로그램은 펌웨어 취약성을 식별하고 수정을 지원할 수 있습니다(83%).
- 응답자의 37%에 따르면 위협 모델링 연습은 잠재적인 펌웨어 격차에 대한 지식이 풍부한 통찰력의 신뢰할 수 있는 소스이며, 57%는 가끔 프로세스를 사용한다고 말합니다. 흥미롭게도 96%가 조직의 위협 모델링 연습이 오늘날의 위협 환경과 일치하지 않는다고 보고했습니다.
- IT 팀이 펌웨어 기반 공격에 대응하는 데 걸리는 평균 시간은 12시간이며, 응답자는 지식 부족(39%)과 제한된 리소스(37%)를 과도한 시간의 가장 큰 이유로 꼽았습니다. 그러나 71%는 청구 예산이 요인이 아니라고 말했습니다.
“최근 몇 달간 펌웨어 관련 공격이 맹공격을 받은 것을 보면 적들이 기술 공급망의 결함을 악용할 만큼 열심히 일할 필요가 없다는 것이 분명합니다. 불행하게도, 우리의 연구 데이터는 순전히 인식 부족과 '눈에 띄지 않으면 정신이 나간 상태'로 인한 무활동으로 인한 회귀를 나타냅니다. “CISA의 알려진 악용 취약성 카탈로그 및 구속력 있는 운영 지침과 같은 새로운 정부 지침 및 이니셔티브는 공급망의 중요한 펌웨어 계층을 더 잘 보호하기 위한 즉각적인 조치를 요구합니다. 진행이 느릴 수 있지만 올바른 방향으로 나아가고 있습니다.”
이클립시움 소개
Eclipsium의 클라우드 기반 플랫폼은 노트북, 서버, 네트워크 장비 및 연결된 장치의 펌웨어를 식별, 검증 및 강화합니다. Eclypsium 플랫폼은 위협, 중대한 위험에 대해 장치를 모니터링하고 전체 장치 플릿에 펌웨어를 패치하여 장치 공급망을 보호합니다. 자세한 내용은 다음을 방문하십시오. eclipsium.com.
밴슨 본 소개
Vanson Bourne은 기술 분야의 시장 조사에 대한 독립적인 전문가입니다. 강력하고 신뢰할 수 있는 연구 기반 분석에 대한 그들의 명성은 엄격한 연구 원칙과 모든 비즈니스 부문 및 모든 주요 시장에서 기술 및 비즈니스 기능 전반에 걸쳐 고위 의사 결정자의 의견을 구하는 능력을 기반으로 합니다. 자세한 내용은 다음을 방문하십시오.
www.vansonbourne.com.
