Подавляющее большинство (82%) компаний сообщили, что у них нет ресурсов, которые можно было бы направить на более эффективную работу по обеспечению безопасности, поскольку они тратят слишком много времени на низкоуровневую ручную работу: обновление программного и аппаратного обеспечения, тестирование патчей безопасности, а также аудит и устранение внутренних и внешних уязвимостей. 21% специалистов признают, что данные их прошивок остаются сегодня без контроля и защиты.
Между тем, как подчеркивают аналитики, есть два вида организаций: те, кто подверглись атакам на микропрограммное обеспечение, и те, кто подвергся таким атакам, но пока не знают об этом. Атаки на прошивки менее распространены, чем на программное обеспечение, но успешная атака бывает намного более разрушительной. Кроме того, нет способа убедиться, что микропрограммное обеспечение на 100% защищено.
Согласно исследованию, текущие инвестиции идут на обновление системы безопасности, обнаружение уязвимостей и усовершенствование решений для защиты от угроз. Однако многие организации остаются обеспокоенными тем, что вредоносные программы позволяют получать доступ к корпоративным системам, а также трудностями в обнаружении угроз, что говорит о сложности мониторинга и контроля микропрограммного обеспечения. Проблема также усугубляется недостаточной осведомленностью об угрозах и отсутствием автоматизации защиты.
Микропрограммное обеспечение становится приоритетной мишенью для хакеров, ведь в нем хранится конфиденциальная информация, такая как учетные данные и ключи шифрования. Недавно Национальный институт стандартизации и технологий (NIST) показал более чем пятикратное увеличение числа атак на встроенное микропрограммное обеспечение за последние четыре года. Тем не менее, исследование показывает, что уровень осведомленности об этой угрозе отстает от других направлений. Даже при таком всплеске числа атак на микропрограммы, исследование показывает, что по мнению большинства специалистов, отвечающих за вопросы информационной безопасности, уязвимости в ПО в три раза чаще создают угрозу по сравнению уязвимостями в микропрограммах.
Отсутствие автоматизации является еще одним фактором, который вынуждает организации терять время и отвлекает их от разработки более эффективных стратегий превентивной защиты. 71% опрошенных специалистов утверждают, что их сотрудники тратят слишком много времени на работу, которая может и должна быть автоматизирована. В целом команды специалистов по ИБ тратят 41% своего времени на обновление микропрограмм.
Исследование определило ядро ОС как растущую брешь в построении информационной защиты предприятия. Результаты также свидетельствуют о том, что инвестиции в эту область остаются на низком уровне. Лишь 36% компаний инвестируют в аппаратное шифрование памяти ядра ОС, а менее половины (46%) – в аппаратную защиту ядра. Также в Security Signals выявили, что команды безопасности слишком сфокусированы на устаревших моделях «защитить — обнаружить» и не тратят достаточно времени на разработку стратегии – только 39% времени команд безопасности тратится на профилактику, и, вероятно, это не изменится в ближайшие два года. Результатом такой устаревшей модели является отсутствие проактивных инвестиций в защиту от атак на ядро.