Portland, Oregon – 23. avgust 2022
- Eklepsija®
in Vanson Bourne today released a new report that reveals the financial sector is ill-equipped to effectively tackle the ongoing threat of firmware-related supply chain attacks. In fact, 92% of CISOs in finance believe adversaries are better equipped at weaponizing firmware than their teams are at securing it. Additionally, three out of four acknowledge gaps in awareness concerning the organization’s firmware blind spot. Consequently, 88% of those surveyed admit to experiencing a firmware-related cyberattack in the last two years alone.
Varnost vdelane programske opreme v dobavnih verigah finančnih storitev Poročilo deli vpoglede 350 odločevalcev o varnosti IT v finančnem sektorju, zlasti tistih s sedežem v ZDA, Kanadi, Singapurju, Avstraliji, Novi Zelandiji in Maleziji. Ugotovitve ne razkrivajo samo stanja varnosti vdelane programske opreme in pomanjkanja preventivnih kontrol ali sanacijskih taktik, temveč osvetljujejo tudi samozadovoljstvo in pomanjkanje ozaveščenosti glede trenutnih varnostnih ukrepov. Bolj zaskrbljujoče je soglasje o majhnih ali nič namenskih naložbah ali virih ter splošnem pomanjkanju veščin za spopadanje z eno največjih groženj kibernetske varnosti danes. Podatki kažejo:
- Več kot polovica (55 %) je bila žrtev ogroženosti na ravni vdelane programske opreme več kot enkrat v zadnjih dveh letih.
- Skoraj štirje od 10 ocenjujejo izgubo podatkov (in kršitev GDPR) kot glavno posledico napada; enako uvrščen je strah pred izgubo kritičnih varnostnih kontrol.
- Uničenje kritičnih naprav (35 %), izguba strank (34 %) in nasprotnikov dostop do drugih naprav (34 %) so bili enako označeni kot škodljiv vpliv po napadu, povezanem z vdelano programsko opremo.
“Financial Services organizations are leading targets of cyberattacks. That explains why they are vanguards for adopting new protection technologies, all while under the constant watchful eye of regulators and other industries waiting to follow their lead as they strive to combat ever evolving attack vectors. Yet in the case of securing firmware and the hardware supply chain, we are seeing potential blind spots,” said Ramy Houssaini, Global Cyber Resilience Executive. “A shift in priorities is critical if we are going to effectively protect the technology supply chain. Financial organizations must continue to serve as trailblazers and close the firmware security gap.”
Finančne organizacije nimajo vpogledov v tveganje vdelane programske opreme, da bi ukrepale
Po podatkih Nacionalnega inštituta za standarde in tehnologijo (NIST) so se napadi na ravni vdelane programske opreme od leta 500 povečali za 2018 %, vendar je 93 % anketirancev presenečenih nad pomanjkanjem vpogleda v trenutne grožnje vdelane programske opreme. Samo v zadnjih osmih mesecih je Eclypsium Research odkril velike grožnje v naravi, Z Napadi skupine Intel ME izsiljevalske programske opreme Conti.
Na žalost pomanjkanje vpogleda izhaja iz precejšnjih vrzeli v poznavanju vdelane programske opreme in dobavne verige. Pravzaprav:
- Nekaj več kot polovica (53 %) ve, da je njihov varnostni nadzor (požarni zidovi, nadzor dostopa itd.) odvisen od vdelane programske opreme, 44 % se jih zaveda, ko jim postavijo isto vprašanje o prenosnih računalnikih, 56 % pa ostane neobveščenih.
- 47% believe they have total awareness of their organization’s overall firmware attack surface, 49% are mostly aware. Only 39% say they would be immediately informed if a device had been compromised.
Despite the perceived knowledge, 91% are concerned about the gap in firmware security in their organization’s supply chain.
Napačne predstave, omejena sredstva in pomanjkanje spretnosti/virov spodbujajo porast
Vdelana programska oprema je najbolj temeljna komponenta katere koli naprave in s tem celotne dobavne verige, vendar ostaja najbolj spregledan in zavrnjen del tehnološkega niza – ustvarja popoln katalizator za napad. Štirje od petih se strinjajo, da je ranljivosti vdelane programske opreme v porastu, in skoraj vsi (93 %) trdijo, da mora biti varovanje vdelane programske opreme nujna prednostna naloga. Da bi premaknili iglo, finančne organizacije skoraj soglasno menijo, da je povečanje naložb in virov nujno. Pozitivno je, da anketiranci v naslednjih 8.5-1 letih pričakujejo 2-odstotno povečanje proračuna za varnost IT, namenjenega vdelani programski opremi. Poleg teh dejavnikov za uspeh morajo te organizacije razbliniti tudi mite o trenutnih tehnologijah in metodah, ki ustvarjajo lažen občutek varnosti, kot so:
- Rešitve za upravljanje ranljivosti (81 %) in/ali njihovi programi za odkrivanje in odziv na končne točke (EDR) lahko prepoznajo ranljivosti vdelane programske opreme in pomagajo pri odpravljanju (83 %).
- Threat modeling exercises are a reliable source of knowledgeable insight into potential firmware gaps, according to 37% of respondents, 57% state using the process some of the time. Interestingly, 96% report their organization’s threat modeling exercises do not match today’s threat landscape.
- 12 ur je povprečni čas, v katerem se ekipe IT odzovejo na napad, ki temelji na vdelani programski opremi, pri čemer anketiranci kot glavne razloge za neupravičeno dolg čas pripisujejo pomanjkanje znanja (39 %) in omejene vire (37 %). 71 %, čeprav trdijo, da proračun ni dejavnik.
“Based on the onslaught of firmware-related attacks over the recent months, it’s evident that adversaries are not having to work hard enough to exploit flaws in the technology supply chain. Unfortunately, our research data represents a regression that is purely driven by lack of awareness and the inaction driven by ‘out of sight, out of mind,’ ” said Yuriy Bulygin, CEO and Co-Founder of Eclypsium. “New government directives and initiatives such as CISA’s Known Exploited Vulnerabilities Catalog and its Binding Operational Directive are calls for immediate action to better safeguard the critical firmware layer of the supply chain. Progression might be slow, but we are moving in the right direction.”
O EKLIPSIJU
Eclypsium’s cloud-based platform identifies, verifies, and fortifies firmware in laptops, servers, network gear, and connected devices. The Eclypsium platform secures your device supply chain by monitoring devices for threats, critical risks, and patching firmware across the entire device fleet. For more information, visit eclypsium.com.
O Vansonu Bournu
Vanson Bourne je neodvisni strokovnjak za tržne raziskave za tehnološki sektor. Njihov sloves po robustni in verodostojni analizi, ki temelji na raziskavah, temelji na strogih raziskovalnih načelih in njihovi sposobnosti, da iščejo mnenja višjih nosilcev odločanja v tehničnih in poslovnih funkcijah, v vseh poslovnih sektorjih in na vseh večjih trgih. Za več informacij obiščite
www.vansonbourne.com.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
