Portland, Oregon – 23. avgust 2022
- Eklepsija®
in Vanson Bourne je danes objavil novo poročilo, ki razkriva, da je finančni sektor slabo opremljen za učinkovito spopadanje s stalno grožnjo napadov na dobavno verigo, povezanih z vdelano programsko opremo. Pravzaprav 92 % CISO v financah verjame, da so nasprotniki bolje opremljeni za orožje vdelane programske opreme kot njihove ekipe za njeno zaščito. Poleg tega trije od štirih priznavajo vrzeli v ozaveščenosti o slepi pegi vdelane programske opreme organizacije. Posledično 88 % anketiranih priznava, da je samo v zadnjih dveh letih doživelo kibernetski napad, povezan z vdelano programsko opremo.
Varnost vdelane programske opreme v dobavnih verigah finančnih storitev Poročilo deli vpoglede 350 odločevalcev o varnosti IT v finančnem sektorju, zlasti tistih s sedežem v ZDA, Kanadi, Singapurju, Avstraliji, Novi Zelandiji in Maleziji. Ugotovitve ne razkrivajo samo stanja varnosti vdelane programske opreme in pomanjkanja preventivnih kontrol ali sanacijskih taktik, temveč osvetljujejo tudi samozadovoljstvo in pomanjkanje ozaveščenosti glede trenutnih varnostnih ukrepov. Bolj zaskrbljujoče je soglasje o majhnih ali nič namenskih naložbah ali virih ter splošnem pomanjkanju veščin za spopadanje z eno največjih groženj kibernetske varnosti danes. Podatki kažejo:
- Več kot polovica (55 %) je bila žrtev ogroženosti na ravni vdelane programske opreme več kot enkrat v zadnjih dveh letih.
- Skoraj štirje od 10 ocenjujejo izgubo podatkov (in kršitev GDPR) kot glavno posledico napada; enako uvrščen je strah pred izgubo kritičnih varnostnih kontrol.
- Uničenje kritičnih naprav (35 %), izguba strank (34 %) in nasprotnikov dostop do drugih naprav (34 %) so bili enako označeni kot škodljiv vpliv po napadu, povezanem z vdelano programsko opremo.
»Organizacije za finančne storitve so glavne tarče kibernetskih napadov. To pojasnjuje, zakaj so avantgarde za sprejemanje novih zaščitnih tehnologij, medtem ko so pod nenehnim budnim očesom regulatorjev in drugih industrij, ki čakajo, da bodo sledile njihovemu zgledu v boju proti nenehno razvijajočim se vektorjem napadov. Toda v primeru varovanja vdelane programske opreme in dobavne verige strojne opreme opažamo potencialne slepe točke,« je dejal Ramy Houssaini, izvršni direktor za globalno kibernetsko odpornost. »Premik v prednostnih nalogah je ključnega pomena, če želimo učinkovito zaščititi tehnološko dobavno verigo. Finančne organizacije morajo še naprej služiti kot pionirji in zapolniti varnostno vrzel v vdelani programski opremi.«
Finančne organizacije nimajo vpogledov v tveganje vdelane programske opreme, da bi ukrepale
Po podatkih Nacionalnega inštituta za standarde in tehnologijo (NIST) so se napadi na ravni vdelane programske opreme od leta 500 povečali za 2018 %, vendar je 93 % anketirancev presenečenih nad pomanjkanjem vpogleda v trenutne grožnje vdelane programske opreme. Samo v zadnjih osmih mesecih je Eclypsium Research odkril velike grožnje v naravi, Z Napadi skupine Intel ME izsiljevalske programske opreme Conti.
Na žalost pomanjkanje vpogleda izhaja iz precejšnjih vrzeli v poznavanju vdelane programske opreme in dobavne verige. Pravzaprav:
- Nekaj več kot polovica (53 %) ve, da je njihov varnostni nadzor (požarni zidovi, nadzor dostopa itd.) odvisen od vdelane programske opreme, 44 % se jih zaveda, ko jim postavijo isto vprašanje o prenosnih računalnikih, 56 % pa ostane neobveščenih.
- 47 % jih verjame, da se popolnoma zavedajo celotne površine napadov vdelane programske opreme svoje organizacije, 49 % pa se jih večinoma zaveda. Samo 39 % jih pravi, da bi bili takoj obveščeni, če bi bila naprava ogrožena.
Kljub zaznanemu poznavanju jih je 91 % zaskrbljenih zaradi vrzeli v varnosti vdelane programske opreme v dobavni verigi njihove organizacije.
Napačne predstave, omejena sredstva in pomanjkanje spretnosti/virov spodbujajo porast
Vdelana programska oprema je najbolj temeljna komponenta katere koli naprave in s tem celotne dobavne verige, vendar ostaja najbolj spregledan in zavrnjen del tehnološkega niza – ustvarja popoln katalizator za napad. Štirje od petih se strinjajo, da je ranljivosti vdelane programske opreme v porastu, in skoraj vsi (93 %) trdijo, da mora biti varovanje vdelane programske opreme nujna prednostna naloga. Da bi premaknili iglo, finančne organizacije skoraj soglasno menijo, da je povečanje naložb in virov nujno. Pozitivno je, da anketiranci v naslednjih 8.5-1 letih pričakujejo 2-odstotno povečanje proračuna za varnost IT, namenjenega vdelani programski opremi. Poleg teh dejavnikov za uspeh morajo te organizacije razbliniti tudi mite o trenutnih tehnologijah in metodah, ki ustvarjajo lažen občutek varnosti, kot so:
- Rešitve za upravljanje ranljivosti (81 %) in/ali njihovi programi za odkrivanje in odziv na končne točke (EDR) lahko prepoznajo ranljivosti vdelane programske opreme in pomagajo pri odpravljanju (83 %).
- Po mnenju 37 % anketirancev so vaje modeliranja groženj zanesljiv vir strokovnega vpogleda v morebitne vrzeli vdelane programske opreme, 57 % pa jih navaja, da postopek občasno uporabljajo. Zanimivo je, da 96 % poroča, da se vaje modeliranja groženj v njihovi organizaciji ne ujemajo z današnjo pokrajino groženj.
- 12 ur je povprečni čas, v katerem se ekipe IT odzovejo na napad, ki temelji na vdelani programski opremi, pri čemer anketiranci kot glavne razloge za neupravičeno dolg čas pripisujejo pomanjkanje znanja (39 %) in omejene vire (37 %). 71 %, čeprav trdijo, da proračun ni dejavnik.
»Na podlagi napadov, povezanih z vdelano programsko opremo, v zadnjih mesecih je očitno, da se nasprotnikom ni treba dovolj potruditi, da bi izkoristili napake v dobavni verigi tehnologije. Na žalost naši raziskovalni podatki predstavljajo regresijo, ki je izključno posledica pomanjkanja ozaveščenosti in neukrepanja, ki ga poganja 'od vida, iz uma',” je dejal Yuriy Bulygin, izvršni direktor in soustanovitelj Eclypsiuma. »Nove vladne direktive in pobude, kot sta katalog znanih izkoriščenih ranljivosti CISA in njegova zavezujoča operativna direktiva, zahtevajo takojšnje ukrepanje za boljšo zaščito kritične plasti vdelane programske opreme v dobavni verigi. Napredek je morda počasen, vendar se premikamo v pravo smer.”
O EKLIPSIJU
Eclypsiumova platforma v oblaku identificira, preverja in utrjuje vdelano programsko opremo v prenosnikih, strežnikih, omrežni opremi in povezanih napravah. Platforma Eclypsium varuje dobavno verigo vaše naprave s spremljanjem naprav glede groženj, kritičnih tveganj in popravkom vdelane programske opreme v celotnem parku naprav. Za več informacij obiščite eclypsium.com.
O Vansonu Bournu
Vanson Bourne je neodvisni strokovnjak za tržne raziskave za tehnološki sektor. Njihov sloves po robustni in verodostojni analizi, ki temelji na raziskavah, temelji na strogih raziskovalnih načelih in njihovi sposobnosti, da iščejo mnenja višjih nosilcev odločanja v tehničnih in poslovnih funkcijah, v vseh poslovnih sektorjih in na vseh večjih trgih. Za več informacij obiščite
www.vansonbourne.com.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
