Portland, Ore - 23 2022
- Eklipsium®
i Vansona Bourne'a opublikowała dzisiaj nowy raport, który ujawnia, że sektor finansowy nie jest odpowiednio przygotowany do skutecznego radzenia sobie z ciągłym zagrożeniem związanym z atakami na łańcuch dostaw związanymi z oprogramowaniem układowym. W rzeczywistości 92% CISO w finansach uważa, że przeciwnicy są lepiej wyposażeni w wykorzystywanie oprogramowania układowego jako broń niż ich zespoły w zabezpieczaniu go. Ponadto trzech na czterech przyznaje, że istnieją luki w świadomości dotyczące martwego punktu oprogramowania firmowego. W rezultacie 88% ankietowanych przyznaje, że tylko w ciągu ostatnich dwóch lat doświadczyło cyberataku związanego z oprogramowaniem układowym.
Bezpieczeństwo oprogramowania układowego w łańcuchach dostaw usług finansowych raport zawiera spostrzeżenia 350 decydentów ds. bezpieczeństwa IT w sektorze finansowym, w szczególności z USA, Kanady, Singapuru, Australii, Nowej Zelandii i Malezji. Odkrycia nie tylko ujawniają stan bezpieczeństwa oprogramowania układowego i brak kontroli zapobiegawczych lub taktyk naprawczych, ale także rzucają światło na samozadowolenie i brak świadomości w zakresie obecnych środków bezpieczeństwa. Bardziej niepokojący jest konsensus co do niewielkich lub zerowych dedykowanych inwestycji lub zasobów oraz ogólny brak umiejętności radzenia sobie z jednym z największych zagrożeń w dzisiejszym cyberbezpieczeństwie. Dane pokazują:
- Ponad połowa (55%) padła ofiarą naruszenia oprogramowania układowego więcej niż raz w ciągu ostatnich dwóch lat.
- Prawie cztery osoby na dziesięć wskazują na utratę danych (i naruszenie RODO) jako główną konsekwencję ataku; Równie ważny jest strach przed utratą krytycznych kontroli bezpieczeństwa.
- Zniszczenie krytycznych urządzeń (35%), utrata klientów (34%) i dostęp przeciwnika do innych urządzeń (34%) zostały równie uznane za szkodliwe skutki ataku związanego z oprogramowaniem układowym.
„Organizacje usług finansowych są głównymi celami cyberataków. To wyjaśnia, dlaczego są awangardą we wdrażaniu nowych technologii ochrony, a jednocześnie znajdują się pod stałym okiem organów regulacyjnych i innych branż, które czekają, by pójść w ich ślady w walce z ciągle zmieniającymi się wektorami ataków. Jednak w przypadku zabezpieczania oprogramowania sprzętowego i łańcucha dostaw sprzętu dostrzegamy potencjalne martwe punkty” — powiedział Ramy Houssaini, Global Cyber Resilience Executive. „Zmiana priorytetów ma kluczowe znaczenie, jeśli chcemy skutecznie chronić łańcuch dostaw technologii. Organizacje finansowe muszą nadal być pionierami i zlikwidować lukę w zabezpieczeniach oprogramowania układowego”.
Organizacje finansowe nie mają wglądu w ryzyko związane z oprogramowaniem układowym, aby działać
Według National Institute of Standards and Technology (NIST) liczba ataków na poziomie oprogramowania układowego wzrosła od 500 r. o 2018%, jednak 93% respondentów jest zaskoczonych brakiem wglądu w aktualne zagrożenia związane z oprogramowaniem układowym. Tylko w ciągu ostatnich ośmiu miesięcy Eclypsium Research odkryło główne zagrożenie zagrożenia w naturze, włącznie z Ataki Intel ME przez grupę ransomware Conti.
Niestety brak wglądu wynika ze sporych luk w wiedzy o firmware i łańcuchu dostaw. W rzeczywistości:
- Nieco ponad połowa (53%) wie, że ich zabezpieczenia (zapory ogniowe, kontrola dostępu itp.) opierają się na oprogramowaniu układowym, 44% wie, kiedy zadaje to samo pytanie o laptopy, pozostawiając 56% niedoinformowanych.
- 47% uważa, że ma pełną wiedzę na temat ogólnej powierzchni ataków oprogramowania układowego w swojej organizacji, a 49% jest w większości świadomych. Tylko 39% twierdzi, że zostaliby natychmiast poinformowani, gdyby urządzenie zostało naruszone.
Pomimo postrzeganej wiedzy, 91% jest zaniepokojonych luką w zabezpieczeniach oprogramowania układowego w łańcuchu dostaw ich organizacji.
Błędne przekonania, ograniczone fundusze i brak umiejętności/zasobów napędzają gwałtowny wzrost
Oprogramowanie układowe jest najbardziej podstawowym elementem każdego urządzenia, a tym samym całego łańcucha dostaw, ale pozostaje najbardziej pomijaną i lekceważoną częścią stosu technologicznego — tworząc idealny katalizator ataku. Czterech na pięciu zgadza się, że liczba luk w oprogramowaniu sprzętowym rośnie, a prawie wszyscy (93%) twierdzą, że zabezpieczenie oprogramowania układowego powinno być pilnym priorytetem. Aby poruszyć igłę, organizacje finansowe niemal jednogłośnie uważają, że konieczne jest zwiększenie inwestycji i zasobów. Pozytywnie, respondenci przewidują wzrost o 8.5% budżetu bezpieczeństwa IT przeznaczonego na firmware w ciągu najbliższych 1-2 lat. Oprócz tych czynników sukcesu organizacje te muszą również rozwiewać mity wokół obecnych technologii i metod, które tworzą fałszywe poczucie bezpieczeństwa, takie jak:
- Rozwiązania do zarządzania lukami w zabezpieczeniach (81%) i/lub ich programy do wykrywania i reagowania na punkty końcowe (EDR) mogą identyfikować luki w oprogramowaniu sprzętowym i pomagać w ich naprawie (83%).
- Według 37% respondentów ćwiczenia z modelowania zagrożeń są wiarygodnym źródłem wglądu w potencjalne luki w oprogramowaniu sprzętowym, a 57% twierdzi, że korzysta z tego procesu przez jakiś czas. Co ciekawe, 96% twierdzi, że ćwiczenia modelowania zagrożeń w ich organizacjach nie pasują do dzisiejszego krajobrazu zagrożeń.
- 12 godzin to średni czas reakcji zespołów IT na atak oparty na oprogramowaniu układowym, a respondenci podają brak wiedzy (39%) i ograniczone zasoby (37%) jako główne przyczyny zbyt długiego czasu. Jednak 71% twierdzi, że budżet nie jest czynnikiem.
„Biorąc pod uwagę nawał ataków związanych z oprogramowaniem sprzętowym w ostatnich miesiącach, oczywiste jest, że przeciwnicy nie muszą pracować wystarczająco ciężko, aby wykorzystać luki w łańcuchu dostaw technologii. Niestety, nasze dane badawcze przedstawiają regres, który jest spowodowany wyłącznie brakiem świadomości i bezczynnością wynikającą z „co z oczu, to z głowy” – powiedział Yuriy Bulygin, dyrektor generalny i współzałożyciel Eclypsium. „Nowe dyrektywy i inicjatywy rządowe, takie jak Katalog Znanych Wykorzystywanych Luk CISA i Wiążąca Dyrektywa Operacyjna, wzywają do natychmiastowego działania w celu lepszego zabezpieczenia krytycznej warstwy oprogramowania sprzętowego w łańcuchu dostaw. Postęp może być powolny, ale idziemy we właściwym kierunku”.
O EKLIPSJU
Oparta na chmurze platforma Eclypsium identyfikuje, weryfikuje i wzmacnia oprogramowanie układowe w laptopach, serwerach, sprzęcie sieciowym i podłączonych urządzeniach. Platforma Eclypsium zabezpiecza łańcuch dostaw urządzeń, monitorując urządzenia pod kątem zagrożeń, krytycznego ryzyka i instalując poprawki oprogramowania układowego w całej flocie urządzeń. Po więcej informacji odwiedź eclypsium.com.
O Vansonie Bournie
Vanson Bourne jest niezależnym specjalistą w zakresie badań rynkowych dla sektora technologicznego. Ich reputacja w zakresie solidnych i wiarygodnych analiz opartych na badaniach opiera się na rygorystycznych zasadach badawczych i ich zdolności do zasięgania opinii decydentów wyższego szczebla z różnych funkcji technicznych i biznesowych, we wszystkich sektorach biznesowych i na wszystkich głównych rynkach. Po więcej informacji odwiedź
www.vansonbourne.com.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
