Портленд, Орегон – 23 серпня 2022 р
- Екліпсій®
та Вансон Борн сьогодні опублікував новий звіт, який показує, що фінансовий сектор погано оснащений для ефективної боротьби з постійною загрозою атак на ланцюги поставок, пов’язаних із програмним забезпеченням. Фактично, 92% CISO у сфері фінансів вважають, що зловмисники краще оснащені для створення зброї мікропрограмного забезпечення, ніж їхні команди для його захисту. Крім того, троє з чотирьох визнають прогалини в обізнаності щодо сліпої зони програмного забезпечення організації. Таким чином, 88% опитаних зізнаються, що зазнавали кібератак, пов’язаних з прошивкою, лише за останні два роки.
Безпека мікропрограм у ланцюгах постачання фінансових послуг звіт ділиться думками 350 осіб, які приймають рішення з ІТ-безпеки у фінансовому секторі, зокрема тих, хто працює в США, Канаді, Сінгапурі, Австралії, Новій Зеландії та Малайзії. Отримані дані не лише виявляють стан безпеки вбудованого програмного забезпечення та відсутність превентивного контролю чи тактики виправлення, але й проливають світло на самовдоволення та недостатню обізнаність щодо поточних заходів безпеки. Більше тривоги викликає консенсус щодо незначних інвестицій або ресурсів, а також загальної відсутності навичок для боротьби з однією з найбільших загроз у кібербезпеці сьогодні. Дані показують:
- Більше половини (55%) були жертвами компрометації на рівні прошивки більше одного разу за останні два роки.
- Майже чотири з 10 вважають втрату даних (і порушення GDPR) основним наслідком атаки; однаково оцінюється страх втрати критичних засобів контролю безпеки.
- Знищення критично важливих пристроїв (35%), втрата клієнта (34%) і доступ зловмисників до інших пристроїв (34%) однаково були відзначені як згубний вплив після атаки, пов’язаної з вбудованим програмним забезпеченням.
«Організації, що надають фінансові послуги, є основними цілями кібератак. Це пояснює, чому вони є авангардом у впровадженні нових технологій захисту, перебуваючи під постійним пильним оком регуляторів та інших галузей, які чекають, щоб наслідувати їхній приклад у боротьбі з постійно розвиваються векторами атак. Проте у випадку захисту вбудованого програмного забезпечення та ланцюжка постачання апаратного забезпечення ми бачимо потенційні сліпі плями», — сказав Рамі Хуссейні, виконавчий директор Global Cyber Resilience. «Зміна пріоритетів має вирішальне значення, якщо ми збираємося ефективно захистити ланцюг постачання технологій. Фінансові організації повинні продовжувати працювати в якості новаторів і ліквідовувати прогалини в безпеці програмного забезпечення».
Фінансовим організаціям бракує інформації про ризики програмного забезпечення, щоб діяти
За даними Національного інституту стандартів і технологій (NIST), з 500 року кількість атак на рівні мікропрограми зросла на 2018%, але 93% респондентів здивовані відсутністю розуміння поточних загроз мікропрограм. Лише за останні вісім місяців дослідження Eclypsium виявили значні загрози в дикій природі, включаючи Атаки на Intel ME з боку групи програм-вимагачів Conti.
На жаль, відсутність розуміння виникає через значні прогалини в знаннях мікропрограмного забезпечення та ланцюжка поставок. Насправді:
- Трохи більше половини (53%) знають, що їхні засоби контролю безпеки (міжмережеві екрани, засоби контролю доступу тощо) залежать від вбудованого програмного забезпечення, 44% знають, коли запитують про ноутбуки, залишаючи 56% необізнаних.
- 47% вважають, що вони повністю обізнані про загальну поверхню атаки мікропрограм своєї організації, 49% переважно знають. Лише 39% стверджують, що вони були б негайно поінформовані, якщо пристрій було зламано.
Незважаючи на передбачувану обізнаність, 91% занепокоєні прогалиною в безпеці програмного забезпечення в ланцюжку постачання їхньої організації.
Омани, обмежені кошти та брак навичок/ресурсів спричиняють сплеск
Мікропрограмне забезпечення є найважливішим компонентом будь-якого пристрою і, отже, загального ланцюжка поставок, але воно залишається найбільш забутою та відкинутою частиною стеку технологій, створюючи ідеальний каталізатор для атаки. Четверо з п’яти погоджуються, що вразливість програмного забезпечення зростає, і майже всі (93%) стверджують, що захист мікропрограмного забезпечення має бути невідкладним пріоритетом. Щоб посунути голку, фінансові організації майже одностайно вважають, що збільшення інвестицій і ресурсів є обов’язковим. Позитивним є те, що респонденти очікують збільшення на 8.5% бюджету ІТ-безпеки, виділеного на вбудоване програмне забезпечення, протягом наступних 1-2 років. На додаток до цих факторів успіху, ці організації також повинні розвіяти міфи про сучасні технології та методи, які створюють помилкове відчуття безпеки, наприклад:
- Рішення для керування вразливістю (81%) та/або їхні програми виявлення та реагування на кінцеві точки (EDR) можуть визначати вразливості вбудованого програмного забезпечення та допомагати у виправленні (83%).
- За словами 37% респондентів, 57% стверджують, що використовують цей процес деякий час. Цікаво, що 96% повідомили, що вправи з моделювання загроз їхньої організації не відповідають сучасному ландшафту загроз.
- 12 годин — це середній час для ІТ-команд, щоб відреагувати на атаку, засновану на мікропрограмному забезпеченні, при цьому респонденти пояснюють брак знань (39%) і обмежені ресурси (37%) основними причинами надмірної тривалості часу. 71%, однак, стверджують, що бюджет не є фактором.
«З огляду на натиск атак, пов’язаних із мікропрограмним забезпеченням, протягом останніх місяців, очевидно, що зловмисникам не потрібно докладати достатньо зусиль, щоб використовувати недоліки в ланцюжку постачання технологій. На жаль, дані нашого дослідження є регресом, який спричинений виключно недостатньою обізнаністю та бездіяльністю, спричиненою «поза очима, подалі від розуму», — сказав Юрій Булигін, генеральний директор і співзасновник Eclypsium. «Нові урядові директиви та ініціативи, такі як Каталог відомих використаних вразливостей CISA та його Обов’язкова оперативна директива, закликають до негайних дій для кращого захисту критичного рівня мікропрограм у ланцюжку постачання. Прогрес може бути повільним, але ми рухаємося в правильному напрямку».
ПРО ЕКЛІПСІУМ
Хмарна платформа Eclypsium ідентифікує, перевіряє та зміцнює мікропрограми в ноутбуках, серверах, мережевому обладнанні та підключених пристроях. Платформа Eclypsium захищає ланцюжок постачання вашого пристрою, відстежуючи пристрої на наявність загроз, критичних ризиків і виправляючи мікропрограми для всього парку пристроїв. Для отримання додаткової інформації відвідайте eclypsium.com.
Про Вансона Борна
Вансон Борн — незалежний фахівець з маркетингових досліджень технологічного сектору. Їхня репутація надійного та достовірного аналізу, що базується на дослідженнях, ґрунтується на суворих принципах дослідження та їхній здатності звертатися до думок старших осіб, які приймають рішення, у технічних і бізнес-функціях, у всіх секторах бізнесу та на всіх основних ринках. Для отримання додаткової інформації відвідайте
www.vansonbourne.com.
