Portland, Oregon – 23 Ağustos 2022
- tutulma®
ve vanson bourne Bugün, finans sektörünün, ürün yazılımıyla ilgili tedarik zinciri saldırılarına ilişkin devam eden tehditle etkili bir şekilde mücadele etme konusunda yeterli donanıma sahip olmadığını ortaya koyan yeni bir rapor yayınladı. Aslında, finans alanındaki CISO'ların %92'si, rakiplerin donanım yazılımını silah haline getirme konusunda ekiplerinin onu güvence altına alma konusunda olduğundan daha donanımlı olduğuna inanıyor. Ayrıca dört kişiden üçü, kuruluşun ürün yazılımı kör noktasına ilişkin farkındalık eksikliğini kabul ediyor. Sonuç olarak, ankete katılanların %88'i yalnızca son iki yılda ürün yazılımıyla ilgili bir siber saldırı yaşadığını itiraf ediyor.
Finansal Hizmetler Tedarik Zincirlerinde Firmware Güvenliği Rapor, finans sektöründeki, özellikle ABD, Kanada, Singapur, Avustralya, Yeni Zelanda ve Malezya'da bulunan 350 BT güvenliği karar vericisinin görüşlerini paylaşıyor. Bulgular yalnızca ürün yazılımı güvenliğinin durumunu ve önleyici kontrollerin veya iyileştirme taktiklerinin eksikliğini ortaya çıkarmakla kalmıyor, aynı zamanda mevcut güvenlik önlemlerine ilişkin kayıtsızlık ve farkındalık eksikliğine de ışık tutuyor. Daha endişe verici olanı ise, çok az veya hiç özel yatırım veya kaynak olmadığı ve günümüzün siber güvenlik alanındaki en büyük tehditlerinden biriyle başa çıkma konusunda genel beceri eksikliği konusundaki fikir birliğidir. Veriler şunları gösterir:
- Yarıdan fazlası (%55) son iki yılda birden fazla kez ürün yazılımı seviyesindeki bir uzlaşmanın kurbanı oldu.
- Bir saldırının başlıca sonucu olarak neredeyse 10'da dördü veri kaybı (ve GDPR ihlali); Kritik güvenlik kontrollerini kaybetme korkusu da eşit derecede sıralanmıştır.
- Kritik cihazların imhası (%35), müşteri kaybı (%34) ve diğer cihazlara düşman erişiminin (%34) tümü, ürün yazılımıyla ilgili bir saldırının ardından eşit derecede zararlı etki olarak kaydedildi.
“Finansal Hizmetler kuruluşları siber saldırıların önde gelen hedefleridir. Bu, sürekli gelişen saldırı vektörleriyle mücadele etmeye çabalarken, düzenleyicilerin ve diğer endüstrilerin sürekli gözetimi altındayken, neden yeni koruma teknolojilerini benimsemede öncü olduklarını açıklıyor. Ancak ürün yazılımını ve donanım tedarik zincirini güvence altına alma durumunda potansiyel kör noktalar görüyoruz" dedi Küresel Siber Dayanıklılık Yöneticisi Ramy Houssaini. “Teknoloji tedarik zincirini etkili bir şekilde koruyacaksak önceliklerde değişiklik yapmak kritik önem taşıyor. Finansal kuruluşlar öncü olarak hizmet etmeye devam etmeli ve ürün yazılımı güvenlik açığını kapatmalı."
Finansal Kuruluşlar Harekete Geçmek İçin Firmware Risk İçgörüsüne Sahip Değil
Ulusal Standartlar ve Teknoloji Enstitüsü'ne (NIST) göre, cihaz yazılımı düzeyindeki saldırılar 500'den bu yana %2018 oranında arttı, ancak yanıt verenlerin %93'ü mevcut cihaz yazılımı tehditlerine ilişkin bilgi eksikliğinden dolayı şaşırıyor. Yalnızca son sekiz ayda, Eclypsium Research önemli bir gerçeği ortaya çıkardı vahşi tehditler, dahil olmak üzere Conti fidye yazılımı grubunun Intel ME saldırıları.
Ne yazık ki içgörü eksikliği, ürün yazılımı ve tedarik zinciri bilgisindeki önemli boşluklardan kaynaklanmaktadır. Aslında:
- Yarısından biraz fazlası (%53) güvenlik kontrollerinin (güvenlik duvarları, erişim kontrolleri vb.) cihaz yazılımına dayandığını biliyor, %44'ü aynı soru dizüstü bilgisayarlar hakkında sorulduğunda bunun farkında, %56'sı ise bilgisiz.
- %47'si kuruluşlarının genel ürün yazılımı saldırı yüzeyi hakkında tam bir farkındalığa sahip olduğuna inanıyor, %49'u ise çoğunlukla farkında. Yalnızca %39'u, bir cihazın güvenliği ihlal edildiğinde hemen bilgilendirileceklerini söylüyor.
Algılanan bilgiye rağmen %91'i kuruluşlarının tedarik zincirindeki ürün yazılımı güvenliğindeki boşluktan endişe duyuyor.
Yanılgılar, Sınırlı Fonlar ve Beceri/Kaynak Eksikliği Artışa Neden Oluyor
Firmware, herhangi bir cihazın ve dolayısıyla genel tedarik zincirinin en temel bileşenidir, ancak teknoloji yığınının en çok gözden kaçan ve göz ardı edilen kısmı olmayı sürdürerek bir saldırı için mükemmel bir katalizör oluşturur. Beş kişiden dördü ürün yazılımındaki güvenlik açıklarının arttığını düşünüyor ve neredeyse tamamı (%93) ürün yazılımını güvence altına almanın acil bir öncelik olması gerektiğini belirtiyor. Finansal kuruluşlar, iğneyi hareket ettirmek için neredeyse oybirliğiyle yatırım ve kaynaklarda artışın zorunlu olduğuna inanıyor. Olumlu bir şekilde, katılımcılar önümüzdeki 8.5-1 yıl içinde ürün yazılımına ayrılan BT güvenlik bütçesinde %2'lik bir artış bekliyorlar. Başarıya yönelik bu faktörlere ek olarak, bu kuruluşların aynı zamanda yanlış bir güvenlik duygusu yaratan mevcut teknolojiler ve yöntemler hakkındaki aşağıdaki gibi mitleri de ortadan kaldırması gerekir:
- Güvenlik açığı yönetimi çözümleri (%81) ve/veya bunların uç nokta tespit ve yanıt (EDR) programları, ürün yazılımındaki güvenlik açıklarını tespit edebilir ve düzeltmeye yardımcı olabilir (%83).
- Yanıt verenlerin %37'sine göre, tehdit modelleme çalışmaları potansiyel ürün yazılımı açıklarına ilişkin güvenilir bir bilgi kaynağıdır, %57'si ise süreci ara sıra kullandığını belirtmektedir. İlginçtir ki %96'sı kuruluşlarının tehdit modelleme çalışmalarının günümüzün tehdit ortamıyla eşleşmediğini belirtiyor.
- BT ekiplerinin ürün yazılımı tabanlı bir saldırıya yanıt vermesi için gereken ortalama süre 12 saattir; katılımcılar, bu sürenin aşırı uzun olmasının başlıca nedenleri olarak bilgi eksikliğini (%39) ve sınırlı kaynakları (%37) belirtiyor. Ancak %71'i talep bütçesinin bir faktör olmadığını söylüyor.
“Son aylarda cihaz yazılımıyla ilgili saldırıların yoğun olduğu göz önüne alındığında, rakiplerin teknoloji tedarik zincirindeki kusurlardan yararlanmak için yeterince sıkı çalışmak zorunda olmadığı açıkça görülüyor. Ne yazık ki araştırma verilerimiz tamamen farkındalık eksikliğinden ve 'gözden ırak, akıldan ırak'tan kaynaklanan eylemsizlikten kaynaklanan bir gerilemeyi temsil ediyor," dedi Eclypsium'un CEO'su ve Kurucu Ortağı Yuriy Bulygin. “CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu ve Bağlayıcı Operasyonel Direktifi gibi yeni hükümet direktifleri ve girişimleri, tedarik zincirinin kritik ürün yazılımı katmanını daha iyi korumak için acil eylem çağrısıdır. İlerleme yavaş olabilir ama doğru yönde ilerliyoruz.”
ECLYPSIUM HAKKINDA
Eclypsium'un bulut tabanlı platformu, dizüstü bilgisayarlardaki, sunuculardaki, ağ donanımlarındaki ve bağlı cihazlardaki donanım yazılımını tanımlar, doğrular ve güçlendirir. Eclypsium platformu, cihazları tehditlere ve kritik risklere karşı izleyerek ve cihaz filosunun tamamına ürün yazılımı yamaları uygulayarak cihaz tedarik zincirinizi korur. Daha fazla bilgi için şu adresi ziyaret edin: eklypsium.com.
Vanson Bourne hakkında
Vanson Bourne, teknoloji sektörü için pazar araştırmasında bağımsız bir uzmandır. Sağlam ve güvenilir araştırmaya dayalı analiz konusundaki itibarları, sıkı araştırma ilkelerine ve tüm iş sektörlerinde ve tüm büyük pazarlarda, teknik ve ticari işlevlerde üst düzey karar vericilerin görüşlerini alma becerilerine dayanmaktadır. Daha fazla bilgi için şu adresi ziyaret edin:
www.vansonbourne.com.
