Relatório: Instituições financeiras estão sobrecarregadas ao enfrentar ameaças crescentes de segurança de firmware e cadeia de suprimentos

Portland, Oregon – 23 de agosto de 2022
- Eclípsio^®
e Vanson Bourne divulgou hoje um novo relatório que revela que o setor financeiro está mal equipado para enfrentar eficazmente a ameaça contínua de ataques à cadeia de abastecimento relacionados com firmware. Na verdade, 92% dos CISOs do setor financeiro acreditam que os adversários estão mais bem equipados para transformar firmware em arma do que suas equipes para protegê-lo. Além disso, três em cada quatro reconhecem lacunas na conscientização sobre o ponto cego do firmware da organização. Consequentemente, 88% dos entrevistados admitem ter sofrido um ataque cibernético relacionado a firmware apenas nos últimos dois anos.

A segurança do firmware nas cadeias de fornecimento de serviços financeiros O relatório compartilha insights de 350 tomadores de decisão de segurança de TI no setor financeiro, especificamente aqueles baseados nos EUA, Canadá, Cingapura, Austrália, Nova Zelândia e Malásia. As descobertas não apenas expõem o estado da segurança do firmware e a falta de controles preventivos ou táticas de remediação, mas também esclarecem a complacência e a falta de conscientização em relação às medidas de segurança atuais. Mais alarmante é o consenso em torno de pouco ou nenhum investimento ou recursos dedicados e a falta geral de competências para enfrentar uma das maiores ameaças à segurança cibernética da atualidade. Os dados mostram:

• Mais da metade (55%) foram vítimas de comprometimento no nível do firmware mais de uma vez nos últimos dois anos.
• Quase quatro em cada 10 classificam a perda de dados (e uma violação do GDPR) como a principal consequência de um ataque; igualmente classificado é o medo de perder controles críticos de segurança.
• A destruição de dispositivos críticos (35%), a perda de clientes (34%) e o acesso de adversários a outros dispositivos (34%) foram igualmente observados como um impacto prejudicial após um ataque relacionado a firmware.

“As organizações de serviços financeiros são os principais alvos de ataques cibernéticos. Isso explica por que são vanguardas na adoção de novas tecnologias de proteção, ao mesmo tempo que estão sob o constante olhar atento dos reguladores e de outras indústrias que aguardam para seguir o seu exemplo enquanto se esforçam para combater vetores de ataque em constante evolução. No entanto, no caso da segurança do firmware e da cadeia de fornecimento de hardware, estamos a observar potenciais pontos cegos”, afirmou Ramy Houssaini, Executivo Global de Resiliência Cibernética. “Uma mudança nas prioridades é crítica se quisermos proteger eficazmente a cadeia de fornecimento de tecnologia. As organizações financeiras devem continuar a servir como pioneiras e colmatar a lacuna de segurança do firmware.”

As organizações financeiras carecem de insights sobre risco de firmware para agir

De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), os ataques ao nível do firmware aumentaram 500% desde 2018, mas 93% dos entrevistados estão surpresos com a falta de informações sobre as ameaças atuais ao firmware. Somente nos últimos oito meses, a Eclypsium Research descobriu grandes ameaças selvagens, incluam Ataques Intel ME do grupo de ransomware Conti.
Infelizmente, a falta de conhecimento decorre de lacunas consideráveis ​​no conhecimento do firmware e da cadeia de abastecimento. Na verdade:

• Pouco mais da metade (53%) sabe que seus controles de segurança (firewalls, controles de acesso, etc.) dependem de firmware, 44% estão cientes quando fazem a mesma pergunta sobre laptops, deixando 56% desinformados.
• 47% acreditam ter total conhecimento da superfície geral de ataque de firmware de sua organização, 49% estão mais conscientes. Apenas 39% afirmam que seriam imediatamente informados se um dispositivo fosse comprometido.

Apesar do conhecimento percebido, 91% estão preocupados com a lacuna na segurança do firmware na cadeia de fornecimento da sua organização.

Equívocos, fundos limitados e falta de habilidades/recursos estão impulsionando o aumento

O firmware é o componente mais fundamental de qualquer dispositivo e, portanto, de toda a cadeia de suprimentos, mas continua sendo a parte mais negligenciada e descartada da pilha de tecnologia – criando um catalisador perfeito para um ataque. Quatro em cada cinco concordam que as vulnerabilidades do firmware estão a aumentar e quase todos (93%) afirmam que a segurança do firmware deve ser uma prioridade urgente. Para fazer avançar a situação, as organizações financeiras acreditam quase unanimemente que é imperativo um aumento no investimento e nos recursos. Positivamente, os entrevistados antecipam um aumento de 8.5% no orçamento de segurança de TI dedicado ao firmware nos próximos 1 a 2 anos. Além destes factores de sucesso, estas organizações também devem dissipar mitos em torno das tecnologias e métodos actuais que estão a criar uma falsa sensação de segurança, tais como:

• Soluções de gerenciamento de vulnerabilidades (81%) e/ou seus programas de detecção e resposta de endpoint (EDR) podem identificar vulnerabilidades de firmware e auxiliar na correção (83%).
• Os exercícios de modelagem de ameaças são uma fonte confiável de insights bem informados sobre possíveis lacunas de firmware, de acordo com 37% dos entrevistados, 57% afirmam usar o processo algumas vezes. Curiosamente, 96% relatam que os exercícios de modelagem de ameaças da sua organização não correspondem ao cenário de ameaças atual.
• 12 horas é o tempo médio que as equipes de TI levam para responder a um ataque baseado em firmware, com os entrevistados atribuindo a falta de conhecimento (39%) e recursos limitados (37%) como os principais motivos para o período de tempo indevido. 71%, porém, afirmam que o orçamento não é um fator.

“Com base no ataque violento de ataques relacionados a firmware nos últimos meses, é evidente que os adversários não estão tendo que trabalhar duro o suficiente para explorar falhas na cadeia de fornecimento de tecnologia. Infelizmente, os dados da nossa pesquisa representam uma regressão que é puramente impulsionada pela falta de consciência e pela inação motivada por ‘longe da vista, longe da mente’”, disse Yuriy Bulygin, CEO e cofundador da Eclypsium. “Novas directivas e iniciativas governamentais, como o Catálogo de Vulnerabilidades Conhecidas Exploradas da CISA e a sua Directiva Operacional Vinculativa, exigem acção imediata para melhor salvaguardar a camada crítica de firmware da cadeia de abastecimento. A progressão pode ser lenta, mas estamos a avançar na direção certa.”

SOBRE ECLÍPSIO

A plataforma baseada em nuvem da Eclypsium identifica, verifica e fortalece firmware em laptops, servidores, equipamentos de rede e dispositivos conectados. A plataforma Eclypsium protege a cadeia de fornecimento de dispositivos monitorando dispositivos em busca de ameaças, riscos críticos e corrigindo firmware em toda a frota de dispositivos. Para mais informações visite eclypsium.com.

Sobre Vanson Bourne

Vanson Bourne é especialista independente em pesquisa de mercado para o setor de tecnologia. A sua reputação de análises robustas e credíveis baseadas em investigação baseia-se em princípios de investigação rigorosos e na sua capacidade de procurar as opiniões dos decisores seniores em funções técnicas e empresariais, em todos os sectores empresariais e em todos os principais mercados. Para mais informações visite
www.vansonbourne.com.