Portland, Oregon – 23. august 2022
- Eklypsium®
og Vanson Bourne lanserte i dag en ny rapport som avslører at finanssektoren er dårlig rustet til å effektivt takle den pågående trusselen om fastvarerelaterte forsyningskjedeangrep. Faktisk mener 92 % av CISO-er innen finans at motstandere er bedre rustet til å bevæpne fastvare enn teamene deres er til å sikre den. I tillegg erkjenner tre av fire hull i bevisstheten angående organisasjonens fastvare blindsone. Følgelig innrømmer 88 % av de spurte at de har opplevd et fastvarerelatert nettangrep bare de siste to årene.
Fastvaresikkerheten i forsyningskjeder for finansielle tjenester rapporten deler innsikt fra 350 beslutningstakere innen IT-sikkerhet i finanssektoren, spesielt de som er basert i USA, Canada, Singapore, Australia, New Zealand og Malaysia. Funnene avslører ikke bare tilstanden til fastvaresikkerhet og mangelen på forebyggende kontroller eller utbedringstaktikker, men kaster også lys over selvtilfredsheten og mangelen på bevissthet angående gjeldende sikkerhetstiltak. Mer alarmerende er konsensus rundt lite eller ingen dedikerte investeringer eller ressurser, og generell mangel på ferdigheter for å takle en av de største truslene innen cybersikkerhet i dag. Data viser:
- Over halvparten (55 %) ble ofre for et kompromiss på fastvarenivå mer enn én gang de siste to årene.
- Nesten fire av 10 vurderer tap av data (og et GDPR-brudd) som den ledende konsekvensen for et angrep; like rangert er frykten for å miste kritiske sikkerhetskontroller.
- Ødeleggelse av kritiske enheter (35 %), tap av kunder (34 %) og motstanders tilgang til andre enheter (34 %) ble alle like bemerket som en skadelig påvirkning etter et fastvarerelatert angrep.
«Financial Services-organisasjoner er ledende mål for nettangrep. Det forklarer hvorfor de er fortroppene for å ta i bruk nye beskyttelsesteknologier, alt mens de er under konstant våkent øye fra regulatorer og andre bransjer som venter på å følge deres ledelse mens de streber etter å bekjempe angrepsvektorer i stadig utvikling. Men når det gjelder sikring av fastvare og maskinvareforsyningskjeden, ser vi potensielle blindsoner, sier Ramy Houssaini, Global Cyber Resilience Executive. "Et skifte i prioriteringer er avgjørende hvis vi skal effektivt beskytte teknologiforsyningskjeden. Finansielle organisasjoner må fortsette å fungere som banebrytere og lukke fastvaresikkerhetsgapet.»
Finansielle organisasjoner mangler fastvarerisikoinnsikt å handle
I følge National Institute of Standards and Technology (NIST) har angrep på fastvarenivå økt med 500 % siden 2018, men 93 % av respondentene er overrasket over mangelen på innsikt i aktuelle fastvaretrusler. Bare de siste åtte månedene har Eclypsium Research avdekket store i naturen trusler, herunder Intel ME-angrep fra Conti ransomware-gruppen.
Dessverre stammer mangelen på innsikt fra betydelige hull i kunnskap om firmware og forsyningskjeden. Faktisk:
- Litt over halvparten (53 %) vet at sikkerhetskontrollene deres (brannmurer, tilgangskontroller osv.) er avhengige av fastvare, 44 % er klar over det samme spørsmålet om bærbare datamaskiner, og 56 % er uinformerte.
- 47 % tror de har total bevissthet om organisasjonens generelle fastvareangrepsoverflate, 49 % er stort sett klar over. Bare 39 % sier at de vil bli informert umiddelbart hvis en enhet hadde blitt kompromittert.
Til tross for den opplevde kunnskapen, er 91 % bekymret for gapet i fastvaresikkerhet i organisasjonens forsyningskjede.
Misoppfatninger, begrensede midler og mangel på ferdigheter/ressurser er drivkraften
Firmware er den mest grunnleggende komponenten i enhver enhet og dermed den overordnede forsyningskjeden, men den er fortsatt den mest oversett og avviste delen av teknologistabelen – og skaper en perfekt katalysator for et angrep. Fire av fem er enige om at fastvaresårbarheter øker, og nesten alle (93 %) sier at sikring av fastvare bør være en presserende prioritet. For å flytte nålen mener finansorganisasjoner nesten enstemmig at en økning i investeringer og ressurser er avgjørende. Positivt, respondentene forventer en økning på 8.5 % i IT-sikkerhetsbudsjettet dedikert til fastvare i løpet av de neste 1-2 årene. I tillegg til disse suksessfaktorene, må disse organisasjonene også avlive myter rundt nåværende teknologier og metoder som skaper en falsk følelse av sikkerhet, for eksempel:
- Sårbarhetshåndteringsløsninger (81 %) og/eller deres programmer for endepunktdeteksjon og -respons (EDR) kan identifisere fastvaresårbarheter og hjelpe til med utbedring (83 %).
- Trusselmodelleringsøvelser er en pålitelig kilde til kunnskapsrik innsikt i potensielle fastvarehull, ifølge 37 % av respondentene, sier 57 % å bruke prosessen noen ganger. Interessant nok rapporterer 96 % at organisasjonens trusselmodelleringsøvelser ikke samsvarer med dagens trussellandskap.
- 12 timer er gjennomsnittlig tid for IT-team å svare på et fastvarebasert angrep, med respondenter som tilskriver mangel på kunnskap (39 %) og begrensede ressurser (37 %) som de viktigste årsakene til unødig lang tid. 71 % hevder imidlertid at budsjett ikke er en faktor.
"Basert på angrepet av firmware-relaterte angrep de siste månedene, er det tydelig at motstandere ikke trenger å jobbe hardt nok for å utnytte feilene i teknologiforsyningskjeden. Dessverre representerer forskningsdataene våre en regresjon som utelukkende er drevet av mangel på bevissthet og passivitet drevet av "ute av syne, ute av sinn," sa Yuriy Bulygin, administrerende direktør og medgründer av Eclypsium. "Nye myndighetsdirektiver og initiativer som CISAs katalog over kjente utnyttede sårbarheter og dets bindende operasjonelle direktiv er oppfordringer til umiddelbar handling for å bedre sikre det kritiske firmwarelaget i forsyningskjeden. Progresjonen kan gå sakte, men vi beveger oss i riktig retning.»
OM ECLYPSIUM
Eclypsiums skybaserte plattform identifiserer, verifiserer og styrker fastvare på bærbare datamaskiner, servere, nettverksutstyr og tilkoblede enheter. Eclypsium-plattformen sikrer enhetens forsyningskjede ved å overvåke enheter for trusler, kritiske risikoer og lappe fastvare på tvers av hele enhetsparken. For mer informasjon, besøk eclypsium.com.
Om Vanson Bourne
Vanson Bourne er en uavhengig spesialist i markedsundersøkelser for teknologisektoren. Deres rykte for robust og troverdig forskningsbasert analyse er basert på strenge forskningsprinsipper og deres evne til å søke meninger fra senior beslutningstakere på tvers av tekniske og forretningsfunksjoner, i alle forretningssektorer og alle større markeder. For mer informasjon, besøk
www.vansonbourne.com.
