Отчет: Финансовые учреждения перегружены перед растущими угрозами безопасности микропрограмм и цепочки поставок

Портленд, штат Орегон, 23 августа 2022 г.
– Эклипсий^®
и Вансон Борн сегодня выпустила новый отчет, который показывает, что финансовый сектор плохо оснащен для эффективного противодействия сохраняющейся угрозе атак на цепочки поставок, связанных с микропрограммами. На самом деле, 92% директоров по информационной безопасности в сфере финансов считают, что злоумышленники лучше подготовлены к использованию прошивок в качестве оружия, чем их команды к их защите. Кроме того, трое из четырех признают пробелы в осведомленности о «слепой зоне» программного обеспечения организации. Следовательно, 88% опрошенных признались, что только за последние два года подверглись кибератаке, связанной с прошивкой.

Безопасность микропрограммы в цепочках поставок финансовых услуг В отчете представлены мнения 350 лиц, принимающих решения в области ИТ-безопасности в финансовом секторе, в частности из США, Канады, Сингапура, Австралии, Новой Зеландии и Малайзии. Выводы не только выявляют состояние безопасности встроенного ПО и отсутствие превентивного контроля или тактики исправления, но также проливают свет на самоуспокоенность и неосведомленность о текущих мерах безопасности. Более тревожным является консенсус в отношении незначительных или нулевых инвестиций или ресурсов, а также общей нехватки навыков для борьбы с одной из самых серьезных угроз в кибербезопасности на сегодняшний день. Данные показывают:

• Более половины (55%) становились жертвами компрометации на уровне прошивки более одного раза за последние два года.
• Почти четыре из десяти считают потерю данных (и нарушение GDPR) главным последствием атаки; равным образом оценивается страх потери критически важных элементов управления безопасностью.
• Уничтожение важных устройств (35%), потеря клиентов (34%) и доступ злоумышленников к другим устройствам (34%) были в равной степени отмечены как пагубные последствия атаки, связанной с прошивкой.

«Организации финансовых услуг являются главными объектами кибератак. Это объясняет, почему они являются авангардом внедрения новых технологий защиты, находясь при этом под постоянным присмотром регулирующих органов и других отраслей, которые ждут, чтобы последовать их примеру, поскольку они стремятся бороться с постоянно меняющимися векторами атак. Тем не менее, в случае защиты прошивки и цепочки поставок оборудования мы видим потенциальные белые пятна», — сказал Рами Хуссаини, руководитель Global Cyber ​​Resilience. «Смена приоритетов имеет решающее значение, если мы собираемся эффективно защитить цепочку поставок технологий. Финансовые организации должны продолжать служить первопроходцами и устранять пробелы в безопасности микропрограмм».

Финансовым организациям не хватает информации о рисках, связанных с прошивкой, чтобы действовать

По данным Национального института стандартов и технологий (NIST), с 500 года количество атак на уровне микропрограмм увеличилось на 2018 %, однако 93 % респондентов удивлены отсутствием информации о текущих угрозах для микропрограмм. Только за последние восемь месяцев Eclypsium Research обнаружила дикие угрозы, включая Атаки Intel ME группой вымогателей Conti.
К сожалению, отсутствие понимания связано со значительными пробелами в знаниях о прошивке и цепочке поставок. Фактически:

• Чуть более половины (53%) знают, что их средства безопасности (брандмауэры, контроль доступа и т. д.) основаны на прошивке, 44% знают, когда им задают тот же вопрос о ноутбуках, оставляя 56% неосведомленными.
• 47 % считают, что они полностью осведомлены об общей поверхности атаки на микропрограммы своей организации, 49 % в основном осведомлены. Только 39% говорят, что они были бы немедленно проинформированы, если бы устройство было скомпрометировано.

Несмотря на кажущиеся знания, 91 % обеспокоены пробелами в безопасности микропрограмм в цепочке поставок своей организации.

Заблуждения, ограниченные средства и нехватка навыков/ресурсов являются движущей силой всплеска

Прошивка является наиболее фундаментальным компонентом любого устройства и, следовательно, всей цепочки поставок, но она остается наиболее недооцененной и недооцененной частью технологического стека, что создает идеальный катализатор для атаки. Четверо из пяти согласны с тем, что уязвимостей микропрограммного обеспечения становится все больше, и почти все (93%) утверждают, что защита микропрограммного обеспечения должна быть первоочередной задачей. Чтобы сдвинуться с мертвой точки, финансовые организации почти единодушно считают, что увеличение инвестиций и ресурсов является обязательным. Респонденты положительно оценивают увеличение бюджета ИТ-безопасности на микропрограммы на 8.5% в ближайшие 1-2 года. В дополнение к этим факторам успеха эти организации также должны развеять мифы о современных технологиях и методах, которые создают ложное чувство безопасности, например:

• Решения для управления уязвимостями (81%) и/или их программы обнаружения и реагирования на конечных точках (EDR) могут выявлять уязвимости встроенного ПО и помогать в устранении (83%).
• По мнению 37 % респондентов, упражнения по моделированию угроз являются надежным источником осведомленной информации о потенциальных пробелах в прошивке, 57 % заявляют, что используют этот процесс время от времени. Интересно, что 96 % опрошенных сообщают, что проводимые в их организациях мероприятия по моделированию угроз не соответствуют сегодняшнему ландшафту угроз.
• 12 часов — это среднее время, в течение которого ИТ-команды реагируют на атаку с использованием встроенного ПО, при этом респонденты называют отсутствие знаний (39%) и ограниченность ресурсов (37%) основными причинами неоправданной продолжительности времени. 71%, тем не менее, утверждают, что бюджет не является фактором.

«Исходя из серии атак, связанных с прошивкой, за последние месяцы, становится очевидным, что злоумышленникам не нужно прилагать достаточно усилий, чтобы использовать недостатки в технологической цепочке поставок. К сожалению, данные нашего исследования представляют собой регрессию, которая обусловлена ​​исключительно недостатком осведомленности и бездействием, вызванным «с глаз долой, из сердца вон», — сказал Юрий Булыгин, генеральный директор и соучредитель Eclypsium. «Новые правительственные директивы и инициативы, такие как Каталог известных эксплуатируемых уязвимостей CISA и его Обязательная операционная директива, призывают к немедленным действиям для лучшей защиты критического уровня встроенного ПО в цепочке поставок. Прогресс может быть медленным, но мы движемся в правильном направлении».

ОБ ЭКЛИПСИИ

Облачная платформа Eclypsium идентифицирует, проверяет и укрепляет прошивку в ноутбуках, серверах, сетевом оборудовании и подключенных устройствах. Платформа Eclypsium защищает цепочку поставок вашего устройства, отслеживая устройства на наличие угроз, критических рисков и исправляя прошивку для всего парка устройств. Для получения дополнительной информации посетите eclypsium.com.

О Вансоне Борне

Вансон Борн — независимый специалист по исследованию рынка в технологическом секторе. Их репутация надежного и заслуживающего доверия научно-исследовательского анализа основана на строгих принципах исследования и их способности запрашивать мнения высших лиц, принимающих решения, по техническим и бизнес-функциям, во всех секторах бизнеса и на всех основных рынках. Для получения дополнительной информации посетите
www.vansonbourne.com.