Исследование по инвестициям в безопасность встроенного ПО, проведенное компанией Security Signals [1] в партнерстве с Microsoft, показало, что за последние два года более 80% компаний подверглись хакерским атакам на микропрограммное обеспечение. При этом опрос показал, что только 29% бюджетов корпоративной безопасности направлены на устранение данного типа уязвимостей.
Подавляющее большинство (82%) респондентов сообщили, что у них нет ресурсов, которые можно было бы направить на более эффективную работу по обеспечению безопасности, поскольку они тратят слишком много времени на низкоуровневую ручную работу, такую как обновление программного и аппаратного обеспечения, тестирование патчей безопасности, а также аудит и устранение внутренних и внешних уязвимостей. 21% специалистов признают, что данные их прошивок остаются сегодня без контроля и защиты.
Согласно исследованию, текущие инвестиции идут на обновление системы безопасности, обнаружение уязвимостей и усовершенствование решений для защиты от угроз. Однако многие организации остаются обеспокоенными тем, что вредоносные программы позволяют получать доступ к корпоративным системам, а также трудностями в обнаружении угроз, что говорит о сложности мониторинга и контроля микропрограммного обеспечения. Проблема также усугубляется недостаточной осведомленностью об угрозах и отсутствием автоматизации защиты.
Недостаточная осведомленность
Микропрограммное обеспечение становится приоритетной мишенью для хакеров, ведь в нем хранится конфиденциальная информация, такая как учетные данные и ключи шифрования. Недавно Национальный институт стандартизации и технологий (NIST) показал более чем пятикратное увеличение числа атак на встроенное микропрограммное обеспечение за последние четыре года. Тем не менее, исследование показывает, что уровень осведомленности об этой угрозе остается невысоким даже при таком всплеске числа атак на микропрограммы.
По мнению большинства ИБ-специалистов, уязвимости в прикладном и системном ПО создают в три раза более серьезную угрозу, чем уязвимости в микропрограммах.
Проблема автоматизации
Отсутствие автоматизации является еще одним фактором, вынуждающим организации отвлекаться от разработки эффективных стратегий превентивной защиты. 71% опрошенных специалистов утверждают, что их сотрудники тратят слишком много времени на работу, которая может и должна быть автоматизирована. В целом команды специалистов по ИБ тратят 41% своего времени на обновление микропрограмм.
Проблема доверенной загрузки
Исследование также определило ядро ОС как растущую брешь в построении информационной защиты предприятия. Результаты свидетельствуют о том, что инвестиции в эту область остаются на низком уровне. Лишь 36% компаний инвестируют в аппаратное шифрование памяти ядра ОС, а менее половины (46%) – в аппаратную защиту ядра. Команды безопасности слишком сфокусированы на устаревших моделях «защитить - обнаружить» и не тратят достаточно времени на разработку стратегии. Только 39% времени команд безопасности тратится на профилактику, и, вероятно, это не изменится в ближайшие два года. Результатом такой устаревшей модели является отсутствие проактивных инвестиций в защиту от атак на ядро.
В SANS отмечают, что нет способа убедиться, что микропрограммное обеспечение, управляющее аппаратным оборудованием, на 100% защищено. Атаки на микропрограммное обеспечение менее распространены, чем на программное обеспечение, но успешная атака будет намного более опасной.
* * *
1. Исследование Security Signals проводилось с августа по декабрь 2020 г., в котором приняли участие 1 тыс. специалистов, принимающих решения по вопросам ИБ на предприятиях различных отраслей промышленности в США, Великобритании, Германии, Китае и Японии.
Ссылка на исследование: https://www.microsoft.com/security/blog/2021/03/30/new-security-signals-study-shows-firmware-attacks-on-the-rise-heres-how-microsoft-is-working-to-help-eliminate-this-entire-class-of-threats/
