サイバーセキュリティの脅威は常に進化しており、今日、クラウドの保護を受けていないコンピューティング領域を標的とする高度な攻撃の新しい波が見られます。新しいデータは、ファームウェア攻撃が増加していることを示しており、企業はこの重要なレイヤーを保護することに十分な注意を払っていません.
最近、Microsoft は、ファームウェアに対する攻撃が、それらを阻止することを目的とした投資を上回っていることを示す調査を委託しました。 2021 年 3 月の Security Signalsレポートによると、企業の 80% 以上が過去 2 年間に少なくとも 1 回はファームウェア攻撃を経験していますが、ファームウェアを保護するために割り当てられているセキュリティ予算は 29% にすぎません。
Security Signals は、米国、英国、ドイツ、中国、および日本のさまざまな業界の 1,000 人のエンタープライズ セキュリティ意思決定者 (SDM) へのインタビューから集められた包括的な調査レポートです。マイクロソフトは、洞察、設計、および戦略のエージェンシーである Hypothesis Group に調査の実施を依頼しました。
この調査では、現在の投資がセキュリティ アップデート、脆弱性スキャン、および高度な脅威保護ソリューションに向けられていることが示されました。それにもかかわらず、多くの組織はマルウェアがシステムにアクセスすること、および脅威を検出することの難しさを懸念しており、ファームウェアの監視と制御がより困難であることを示唆しています。ファームウェアの脆弱性は、意識の欠如と自動化の欠如によっても悪化しています。
しかし、潮流はファームウェアの悪用に反対し始めている可能性があります。この問題に対する認識が世界中で高まっており、保護に投資する新たな意欲があり、新しいクラスのセキュア コア ハードウェアは、チップ レベルのセキュリティと新しい自動化および分析機能で組織を強化する可能性を示しています。
ファームウェアは、悪意のあるコードを植え付ける肥沃な土壌を提供します
オペレーティング システムの下にあるファームウェアは、資格情報や暗号化キーなどの機密情報がメモリに格納される場所であるため、主な標的として浮上しています。現在市場に出回っている多くのデバイスは、ブート プロセスの前または実行時にカーネルの下で攻撃者がデバイスを侵害していないことを保証するために、そのレイヤーへの可視性を提供していません。そして攻撃者は気づいた。
さらに、アメリカ国立標準技術研究所 (NIST) のNational Vulnerability Database (NVD)は、過去 4 年間でファームウェアに対する攻撃が 5 倍以上増加したことを示しており、攻撃者はこの時間を利用して脆弱性をさらに改良しています。ソフトウェアのみの保護よりも優れています。
しかし、Security Signals の調査では、この脅威に対する認識が業界全体で遅れていることが示されています。このようにファームウェア攻撃が猛威を振るっても、SDM は、ソフトウェアがファームウェアに比べてセキュリティ上の脅威をもたらす可能性が 3 倍高いと SDM が考えていることを調査は示しています。
「企業には 2 つのタイプがあります。ファームウェア攻撃を経験した企業と、ファームウェア攻撃を経験したものの知らない企業です。」 – Azim Shafqat 氏、ISG のパートナー、Gartner の元マネージング VP
OS カーネルは、防御における新たなギャップです
回答者の投資を見ると、この格差が明らかです。カーネル データ保護 (KDP) やメモリ暗号化などのハードウェア ベースのセキュリティ機能は、マルウェアや悪意のある攻撃者がオペレーティング システムのカーネル メモリを破損したり、実行時にメモリを読み取ったりするのをブロックします。攻撃します。 Security Signals によると、ハードウェア ベースのメモリ暗号化に投資している企業は 36% に過ぎず、ハードウェア ベースのカーネル保護に投資している企業は半数未満 (46%) でした。
Security Signals はまた、セキュリティ チームが時代遅れの「保護と検出」のセキュリティ モデルに集中しすぎており、戦略的な作業に十分な時間を費やしていないことも発見しました。今後2年間で。カーネル攻撃ベクトルへの積極的な防御投資の欠如は、この時代遅れのモデルの一例です。
ハードウェアによる物理攻撃
ファームウェア攻撃に加えて、回答者は、ハードウェアによって公開された攻撃ベクトルに対する懸念を特定しました。最近の ThunderSpy 攻撃は、Thunderbolt ポートを標的とし、ダイレクト メモリ アクセス (DMA) 機能を利用して、Thunderbolt コントローラーへのハードウェア アクセスを介してデバイスを侵害しました。これはパッチが適用できない別の欠陥で、多くの一般的な消費者向けデバイスで使用されている T2 セキュリティ チップで発見されました。昨年のその他の主要なファームウェア攻撃には、ドライバの脆弱性を悪用した RobbinHood、Uburos、Derusbi、Sauron、および GrayFish 攻撃が含まれていました。
自動化と投資の欠如は、ファームウェアへの焦点のギャップにつながります
切断の原因の一部は、セキュリティ チームが対応サイクルと手動プロセスで立ち往生していることが原因である可能性があります。 Security Signals の回答者の大多数 (82%) は、ソフトウェアやパッチの適用、ハードウェアのアップグレード、内部および外部の脆弱性を軽減します。 SDM の 21% は、現在、ファームウェア データが監視されていないことを認めています。
自動化の欠如は、組織が時間を浪費し、より良い予防戦略の構築を妨げるもう 1 つの要因です。 71% は、スタッフが自動化すべき仕事に多くの時間を費やしていると述べており、戦略的な仕事に十分な時間がないと答えたチームでは、その数は 82% にまで増えています。全体として、セキュリティ チームは、自動化できるファームウェア パッチに時間の 41% を費やしています。
一方、ほとんどの SDM (62%) は、戦略の設定や、ファームウェアを標的とした高度な脅威への準備など、戦略的な作業により多くの時間を費やすべきだと考えています。
新しい投資が加速し、成果を上げています
この課題は世界規模であり、多くの組織がこれらの重要な分野に投資することの重要性を認識しています。調査対象のドイツ企業の 81% が準備ができており、投資する意思があるのに対し、中国の組織の 95% と、米国、英国、および日本の企業の 91% がそうでした。規制対象業界の企業の 89% は、セキュリティ ソリューションに投資する意思と能力があると感じていますが、金融サービス セクターの企業は、他の市場の企業ほど投資する準備ができていません。
適切な投資を行った組織は利益を上げており、調査対象となった組織がセキュリティに真の投資を行った場合、大きな利益が見られました。 SDM のほぼ 3 分の 2 (65%) が、セキュリティへの投資によって組織全体の効率が向上したと報告しています。これは、SecOps チームが他のプロジェクトに取り組めるようになり、ビジネス継続性が促進され、エンドユーザーの生産性が向上し、ダウンタイムが減少し、他の場所で必要な投資が節約されたためです。 .
すべての業種にわたって、実証済みのフレームワークは、自動化、プロアクティブ性の向上、およびセキュリティの進捗状況の測定を含む、成功するセキュリティ戦略の基礎を築くことができます。
「ファームウェアはハードウェアを実行しますが、ファームウェアで 100% 安全であると検査する方法はありません。ファームウェア攻撃は(ソフトウェアほど)一般的ではありませんが、攻撃が成功すると大部分が破壊的になります。」 – SANSシニアインストラクター
ハードウェアのセキュリティは、将来の脅威から保護するために最も重要です
Microsoft はパートナーと共に、Secured-core PC と呼ばれるファームウェアを狙った脅威を排除するために特別に設計された新しいクラスのデバイスを作成しました。これは最近、サーバーと IOT にも拡張され、今年の Microsoft Ignite カンファレンスで発表されました。ゼロ トラストがゼロ トラストに組み込まれているため、SDM は、現在狙われている攻撃の猛攻撃から常に防御するのではなく、将来の攻撃を防ぐための戦略とテクノロジーにより多くのリソースを投資できるようになります。
セキュア コア PC に投資したと回答した調査対象の SDM は、それらを使用していない人に比べて、セキュリティと強化されたデータの機密性、可用性、整合性に高い満足度を示しました。マイクロソフトの脅威インテリジェンス データの分析に基づくと、セキュア コア PC は、非セキュア コア PC よりも 2 倍以上の保護を提供します。セキュア コア PC に投資した調査対象組織の 60% が、サプライ チェーンの可視性と監視を最大の懸念事項として報告しています。 Accenture の State of Cyber Resilience レポートによると、現在、サプライ チェーンへの間接的な攻撃がセキュリティ侵害の 40% を占めています。
セキュア コア PC は、仮想化ベースのセキュリティ、クレデンシャル ガード、カーネル DMA 保護などの機能を使用して、すぐに強力な保護を提供します。また、その後の自動化とすぐに使用できる機能により、SDM が低レベルの活動よりも価値の高い戦略的な取り組みにより多くの労力を集中できるようになります。
Security Signals では、企業がハードウェアのセキュリティ侵害から保護するために、より大型のデバイスに投資していることもわかりました。半数以上がサーバーに注力しています。マイクロソフトは、先を見越して計画を立て、そこでも革新しています。パートナーである AMD および Intel とともに、仮想 Spring Ignite でセキュア コアをサーバーおよびエッジ デバイスに拡張することを発表しました。
Microsoft、Acer、Dell、HP、Lenovo、Panasonic などから現在入手可能な 100 を超える認定セキュア コア PC の詳細については、セキュアコア Web ページにアクセスしてください。
サーバーへの投資は現在、クラウドへの移行の足がかりとして使用されているため、高額になっています。」 – Azim Shafqat 氏、ISG のパートナー、Gartner の元マネージング VP
Security Signals レポートから得られた最も重要なポイントは、特にファームウェア攻撃への対処に関して、企業がより積極的なセキュリティ戦略を実施したいと考えていることです。マイクロソフトは、主要な PC メーカーやシリコン ベンダーと提携して、デバイス セキュリティに対する積極的な戦略を確立することで、このニーズに対応しようとしています。
最終的に、そのような予防戦略を開発するためにリソースを調整する企業は、ビジネスの継続性、生産性、および新たな脅威からの保護のためのより良い機会を自らに与えるでしょう.
方法論
Security Signals の調査は 2020 年 8 月から 12 月にかけて行われ、米国、英国、ドイツ、中国、および日本。
セキュリティ シグナル レポートは、現在のセキュリティ状況の詳細な全体像を作成するために機能します。セキュリティ意思決定者 (SDM) が組織にもたらす独自の考え方と優先順位を理解すること。セキュリティ ソリューションを採用する利点と課題を明らかにする。 SDM のビジネス上の意思決定に影響を与え、形成するものを評価する。そして、セキュリティの将来がどうなるかを確認します。このホワイト ペーパーの目的は、国や業界全体でセキュリティの状態に関する最新の調査を提供し、お客様やパートナーにより良いサービスを提供し、セキュリティの意思決定者が組織内のセキュリティ戦略の開発を促進できるようにすることです。 .
Comments