Portland, Oregon – 23 augusti 2022
- Eklypsium®
och Vanson Bourne släppte idag en ny rapport som avslöjar att finanssektorn är dåligt rustad för att effektivt hantera det pågående hotet från firmware-relaterade attacker i leveranskedjan. Faktum är att 92 % av CISO:er inom finans tror att motståndare är bättre rustade på att beväpna firmware än deras team är på att säkra den. Dessutom erkänner tre av fyra luckor i medvetenhet om organisationens blinda fläck för fast programvara. Följaktligen erkänner 88 % av de tillfrågade att de har upplevt en firmwarerelaterad cyberattack bara under de senaste två åren.
Firmware-säkerheten i leveranskedjor för finansiella tjänster rapporten delar insikter från 350 beslutsfattare inom IT-säkerhet inom finanssektorn, särskilt de som är baserade i USA, Kanada, Singapore, Australien, Nya Zeeland och Malaysia. Fynden avslöjar inte bara tillståndet för firmwaresäkerhet och bristen på förebyggande kontroller eller åtgärdstaktik, utan belyser också självgodheten och bristen på medvetenhet om nuvarande säkerhetsåtgärder. Mer alarmerande är samförståndet kring små eller inga dedikerade investeringar eller resurser, och allmän brist på kompetens för att hantera ett av de största hoten inom cybersäkerhet idag. Data visar:
- Över hälften (55 %) har blivit offer för en kompromiss på firmwarenivå mer än en gång under de senaste två åren.
- Nästan fyra av tio bedömer dataförlust (och ett GDPR-brott) som den främsta konsekvensen för en attack; lika rankad är rädslan för att förlora kritiska säkerhetskontroller.
- Förstörelse av kritiska enheter (35 %), kundförlust (34 %) och motståndares tillgång till andra enheter (34 %) noterades alla som en skadlig inverkan efter en firmware-relaterad attack.
"Financial Services-organisationer är ledande mål för cyberattacker. Det förklarar varför de är föregångare när det gäller att ta till sig ny skyddsteknik, allt medan de står under ständigt vakande öga av tillsynsmyndigheter och andra industrier som väntar på att följa deras ledning när de strävar efter att bekämpa attackvektorer som ständigt utvecklas. Men när det gäller att säkra firmware och hårdvaruförsörjningskedjan ser vi potentiella blinda fläckar, säger Ramy Houssaini, Global Cyber Resilience Executive. "En förändring av prioriteringarna är avgörande om vi effektivt ska skydda den tekniska leveranskedjan. Finansiella organisationer måste fortsätta att fungera som banbrytare och täppa till säkerhetsluckan för firmware.”
Finansiella organisationer saknar firmware riskinsikter att agera
Enligt National Institute of Standards and Technology (NIST) har attacker på firmwarenivå skjutit i höjden med 500 % sedan 2018, men ändå är 93 % av de tillfrågade förvånade över bristen på insikt om aktuella firmwarehot. Bara under de senaste åtta månaderna har Eclypsium Research avslöjat stora i det vilda hot, Inklusive Intel ME-attacker från Conti ransomware-gruppen.
Tyvärr beror bristen på insikt från avsevärda luckor i kunskap om firmware och leveranskedjan. Faktiskt:
- Drygt hälften (53 %) vet att deras säkerhetskontroller (brandväggar, åtkomstkontroller etc.) är beroende av firmware, 44 % är medvetna när de ställs samma fråga om bärbara datorer, vilket lämnar 56 % oinformerade.
- 47 % tror att de har total medvetenhet om deras organisations övergripande firmware-attackyta, 49 % är mest medvetna. Endast 39 % säger att de omedelbart skulle bli informerade om en enhet hade äventyrats.
Trots den upplevda kunskapen är 91 % oroade över luckan i firmwaresäkerhet i deras organisations försörjningskedja.
Missuppfattningar, begränsade medel och brist på färdigheter/resurser driver uppsving
Firmware är den mest grundläggande komponenten i alla enheter och därmed den övergripande försörjningskedjan, men den förblir den mest förbisedda och avfärdade delen av teknikstacken – vilket skapar en perfekt katalysator för en attack. Fyra av fem håller med om att sårbarheter i den inbyggda programvaran ökar och nästan alla (93 %) anger att säkra firmware bör vara en brådskande prioritet. För att flytta nålen tror finansiella organisationer nästan enhälligt att en ökning av investeringar och resurser är absolut nödvändig. Positivt är att respondenterna förväntar sig en ökning med 8.5 % av IT-säkerhetsbudgeten för fast programvara under de kommande 1-2 åren. Utöver dessa framgångsfaktorer måste dessa organisationer också skingra myter kring nuvarande teknologier och metoder som skapar en falsk känsla av säkerhet, såsom:
- Sårbarhetshanteringslösningar (81 %) och/eller deras endpoint detection and response-program (EDR) kan identifiera sårbarheter i firmware och hjälpa till med åtgärdande (83 %).
- Hotmodelleringsövningar är en pålitlig källa till kunnig insikt om potentiella firmware-luckor, enligt 37 % av de tillfrågade uppger 57 % att de använder processen ibland. Intressant nog rapporterar 96 % att deras organisations hotmodelleringsövningar inte matchar dagens hotlandskap.
- 12 timmar är den genomsnittliga tiden för IT-team att reagera på en firmware-baserad attack, med respondenter som tillskriver brist på kunskap (39 %) och begränsade resurser (37 %) som de främsta orsakerna till den onödigt långa tiden. 71 % hävdar dock att budget inte är en faktor.
"Baserat på anstormningen av firmware-relaterade attacker under de senaste månaderna, är det uppenbart att motståndare inte behöver arbeta tillräckligt hårt för att utnyttja bristerna i den tekniska leveranskedjan. Tyvärr representerar vår forskningsdata en regression som enbart drivs av bristande medvetenhet och passivitet som drivs av "utom syn, utom sinne", säger Yuriy Bulygin, VD och medgrundare av Eclypsium. "Nya regeringsdirektiv och initiativ som CISA:s katalog över kända exploaterade sårbarheter och dess bindande operativa direktiv är krav på omedelbara åtgärder för att bättre skydda det kritiska firmwarelagret i leveranskedjan. Progressionen kan vara långsam, men vi går i rätt riktning."
OM ECLYPSIUM
Eclypsiums molnbaserade plattform identifierar, verifierar och stärker firmware i bärbara datorer, servrar, nätverksutrustning och anslutna enheter. Eclypsium-plattformen säkrar din enhetsförsörjningskedja genom att övervaka enheter för hot, kritiska risker och patchar firmware över hela enhetsflottan. För mer information besök eclypsium.com.
Om Vanson Bourne
Vanson Bourne är en oberoende specialist på marknadsundersökningar för tekniksektorn. Deras rykte för robust och trovärdig forskningsbaserad analys bygger på rigorösa forskningsprinciper och deras förmåga att söka åsikter från seniora beslutsfattare inom tekniska och affärsmässiga funktioner, i alla affärssektorer och alla större marknader. För mer information besök
www.vansonbourne.com.
