Platformbeveiliging nog vaak over het hoofd gezien
Platformbeveiliging - het beveiligen van de hardware en firmware van pc's, laptops en printers - is een onderwerp dat nog vaak over het hoofd wordt gezien. Dit kan de digitale veiligheid van organisaties verzwakken.
Dit blijkt uit een rapport van HP, gebaseerd op een wereldwijd onderzoek uitgevoerd onder meer dan 800 IT- en beveiligingsbeslissers (ITSDM's) en meer dan 6000 work-from-anywhere (WFA) werknemers. Het rapport laat zien dat platformbeveiliging een groeiende zorg is. 81% van de ITSDM's is het erover eens dat hardware- en firmwarebeveiliging een prioriteit moet worden, om ervoor te zorgen dat aanvallers geen misbruik kunnen maken van kwetsbare apparaten. 68% geeft echter aan dat investeringen in hardware- en firmwarebeveiliging vaak over het hoofd worden gezien in de totale eigendomskosten (TCO) voor apparaten. Dit leidt zodanig tot kostbare beveiligingsproblemen, managementoverheads en inefficiënties.
Vijf fase van de levenscyclus
De belangrijkste bevindingen uit de vijf fasen van de levenscyclus van apparaten zijn onder andere:
- Selectie van leveranciers – 34% zegt dat een leverancier van pc's, laptops of printers in de afgelopen vijf jaar niet is geslaagd voor een cyberbeveiligingsaudit, waarbij 18% zegt dat de tekortkoming zo ernstig was dat ze het contract met de leverancier hebben beëindigd. 60% van de ITSDM's zegt dat het gebrek aan betrokkenheid van IT en beveiliging, bij de aanschaf van apparaten, de organisatie in gevaar brengt.
- Onboarding en configuratie – Meer dan de helft (53%) van de ITSDM's zegt dat BIOS-wachtwoorden gedeeld worden met andere gebruikers, te algemeen gebruikt worden, of dat ze niet sterk genoeg zijn. Bovendien geeft 53% toe dat ze zelden hun BIOS-wachtwoorden wijzigen gedurende de levensduur van een apparaat.
- Doorlopend beheer – Meer dan 60% van de ITSDM's voert geen firmware-updates uit zodra deze beschikbaar zijn voor laptops of printers. Daarbij zegt 57% van de ITSDM's FOMU (Fear Of Making Updates) te krijgen met betrekking tot firmware. Toch gelooft 80% dat de opkomst van AI betekent dat kwaadwillenden sneller aanvallen kunnen ontwikkelen, waardoor het van vitaal belang is om sneller updates uit te voeren.
- Monitoring en herstel – Elk jaar kosten verloren en gestolen apparaten organisaties ongeveer 8,6 miljard dollar. Een op de vijf WFA-medewerkers is wel eens een pc kwijtgeraakt of heeft te maken gehad met diefstal van een pc, waarna het gemiddeld 25 uur duurde voordat ze een melding bij IT deden.
- Tweede leven en ontmanteling – Bijna de helft (47%) van de ITSDM's zegt dat zorgen over databeveiliging een groot obstakel zijn bij het hergebruiken, doorverkopen of recyclen van pc's of laptops, terwijl 39% zegt dat dit een groot obstakel vormt voor printers.
“De aanschaf van pc's, laptops of printers is een beveiligingsbeslissing met langetermijngevolgen voor de endpoint-infrastructuur van een organisatie. De prioriteitstelling, of het gebrek daaraan, van hardware- en firmwarebeveiligingseisen tijdens de aanschaf kan gevolgen hebben voor de gehele levensduur van een reeks apparaten - van een toename van de potentiële risico's tot het opdrijven van de kosten of een negatieve gebruikerservaring - als de beveiligings- en beheerbaarheidseisen te laag worden gesteld in vergelijking met de beschikbare state-of-the-art”, waarschuwt Boris Balacheff, Chief Technologist voor Security Research en Innovation bij HP Inc.
IT en security als onderdeel van het aankoopproces
De conclusies benadrukken dat er een groeiende nood is om IT en beveiliging deel te laten zijn van het aankoopproces voor nieuwe apparaten, om de eisen te bepalen en de veiligheidsclaims van de verkopers te verifiëren:
- 52% van de ITSDM's zegt dat inkoopteams zelden samenwerken met IT en security om de beveiligingsclaims van leveranciers voor hardware en firmware te controleren.
- 45% van de ITSDM's geeft toe dat ze erop moeten vertrouwen dat leveranciers de waarheid vertellen, omdat ze niet de middelen hebben om de beveiligingsclaims voor hardware en firmware in RFP's te controleren.
- 48% van de ITDMS zegt zelfs dat inkoopteams net als “ lammetjes op de slachtbank” zijn omdat ze alles geloven wat leveranciers tegen hun zeggen.
Zorgen over eigen vaardigheden
IT-professionals maken zich ook zorgen over de grenzen van hun eigen vaardigheden om apparaten aan te sluiten en te configureren tot op het hardware- en firmwareniveau.
- 78% van de ITSDM's wil dat zero-touch onboarding vanuit de cloud hardware- en firmware beveiligingsconfiguratie bevat om de beveiliging te kunnen verbeteren.
- 57% van de ITSDM's is gefrustreerd omdat ze apparaten niet via de cloud kunnen onboarden en configureren.
- Bijna de helft (48%) van de WFA-medewerkers die een apparaat thuisbezorgd kregen, klaagde erover dat het onboarding- en configuratieproces hinderlijk verliep.
“Je moet altijd technologieleveranciers kiezen die je kan vertrouwen. Maar als het gaat om de beveiliging van apparaten die dienen als toegangspunten tot jouw IT-infrastructuur, moet dat geen blind vertrouwen zijn”, zegt Pelle Aardewerk, Endpoint Security Consultancy Lead bij HP Inc. “Organisaties hebben harde bewijzen nodig – zero-trust endpoint security, validatie dat dezelfde hardware en firmware, die de fabriek verlaat, aankomt bij de eindgebruiker, technische briefings, gedetailleerde documentatie, regelmatige audits en een rigoreus validatieproces om er zeker van te zijn dat er wordt voldaan aan beveiligingseisen en dat apparaten veilig en efficiënt gebruikt kunnen worden.”
Beheren, bewaken en herstellen van apparaten leidt tot uitdagingen
71% van de ITSDM's zegt dat de opkomst van 'work-from-anywhere' modellen het lastiger hebben gemaakt om de beveiliging van platforms te beheren, wat gevolgen heeft voor de productiviteit van werknemers en kan leiden tot risicovol gedrag:
- Eén op de vier werknemers neemt liever genoegen met een slecht presterende laptop dan dat ze IT vragen om de laptop te repareren of te vervangen, omdat zij zich de onderbreking van hun tijd niet kunnen veroorloven.
- 49% van de werknemers heeft hun laptop opgestuurd voor een reparatie en zegt dat het meer dan tweeënhalve dag duurde voordat het apparaat gerepareerd of vervangen was, waardoor velen genoodzaakt waren om hun persoonlijke laptop voor het werk te gebruiken of er een te lenen van familie of vrienden - waarbij de grens tussen persoonlijk en professioneel gebruik steeds vager wordt.
- 12% liet een niet-geautoriseerde derde partij een werkapparaat repareren, waardoor de veiligheid van het platform in gevaar werd gebracht en het zicht van IT op de integriteit van het apparaat werd belemmerd.
Het bewaken en herstellen van hardware- en firmwarebedreigingen om te voorkomen dat bedreigers toegang krijgen tot gevoelige gegevens en kritieke systemen is van vitaal belang. Echter, volgens 79% van de ITSDM's blijft hun kennis over hardware- en firmwarebeveiliging achter bij hun kennis over softwarebeveiliging. Bovendien hebben ze geen geavanceerde tools die hen de gewenste zichtbaarheid en controle geven om de beveiliging van hardware en firmware van alle apparaten te beheren:
- 63% van de ITSDM's zegt dat ze te maken krijgen met meerdere 'dode hoeken' rondom zwakke plekken en verkeerde configuraties in de hardware en firmware van apparaten.
- 57% is niet in staat om de impact van eerdere beveiligingsgebeurtenissen op hardware en firmware te analyseren om apparaten die risico lopen te beoordelen.
- 60% zegt dat detectie en beperking van hardware- of firmware-aanvallen onmogelijk is en ziet het achteraf herstellen als de enige oplossing.
Tweede leven en ontmanteling
Beveiligingsproblemen met platformen belemmeren organisaties ook in het hergebruiken, recyclen of doorverkopen van end-of-life apparaten:
- 59% van de ITSDM's zegt dat het te moeilijk is om apparaten een tweede leven te geven en daarom vernietigen ze vaak apparaten uit bezorgdheid over gegevensbeveiliging.
- 69% zegt dat ze met een aanzienlijk aantal apparaten opgescheept zitten die hergebruikt of gedoneerd zouden kunnen worden als ze beter schoongemaakt konden worden.
- 60% van de ITSDM's geeft toe dat het niet recyclen en hergebruiken van perfect-bruikbare laptops leidt tot een e-waste epidemie.
Wat de zaken nog ingewikkelder maakt, is dat veel werknemers op oude werkapparaten blijven zitten. Hierdoor kunnen apparaten niet alleen niet opnieuw worden gebruikt, maar ontstaan er ook risico's voor de gegevensbeveiliging rond oude apparaten waarop mogelijk nog bedrijfsgegevens kunnen staan.
- 70% van de WFA-werknemers heeft ten minste 1 oude werk-pc/laptop thuis of op de werkplek.
- 12% van de WFA-werknemers heeft wel eens een baan verlaten zonder hun apparaat meteen terug te geven - en bijna de helft van hen zegt dat ze dat nooit hebben gedaan.
Nieuwe benadering van de levenscyclus van apparaten
Meer dan twee derde (69%) van de organisaties zegt dat hun aanpak voor het beheren van de beveiliging van apparaathardware en -firmware slechts gericht is op een klein deel van de levenscyclus. Hierdoor worden apparaten blootgesteld en zijn teams niet in staat om de beveiliging van het platform te bewaken en te controleren vanaf de selectie van de leverancier tot aan de ontmanteling.
Om de beveiliging van platforms gedurende de hele levenscyclus te beheren, doet HP Wolf Security onder andere de volgende aanbevelingen:
- Selectie van leveranciers: Ervoor zorgen dat IT-, beveiligings- en inkoopteams samenwerken om beveiligings- en robuustheideisen voor nieuwe apparaten vast te stellen, beweringen van leveranciers over beveiliging te valideren en het beveiligingsbeheer van de productie van leveranciers te controleren.
- Onboarding en configuratie: Zoek naar oplossingen die veilige zero-touch onboarding van apparaten en gebruikers mogelijk maken, en veilig beheer van firmware-instellingen die niet afhankelijk zijn van zwakke authenticatie zoals BIOS-wachtwoorden.
- Doorlopend beheer: Identificeer de tools waarmee IT de configuratie van apparaten op afstand kan bewaken en bijwerken, en firmware-updates snel kan implementeren om het aanvalsoppervlak van het apparatuur te verkleinen.
- Monitoring en herstel: Zorg ervoor dat IT- en beveiligingsteams op afstand gegevens van apparaten kunnen vinden, vergrendelen en wissen - zelfs van apparaten die zijn uitgeschakeld - om het risico van zoekgeraakte en gestolen apparaten te verkleinen. Verbeter de weerbaarheid dankzij het monitoren van auditlogs van apparaten om beveiligingsrisico's voor platforms te identificeren, zoals het detecteren van ongeautoriseerde hardware- en firmwarewijzigingen en signalen van uitbuiting.
- Tweede leven en ontmanteling: Geef voorrang aan apparaten die gevoelige hardware- en firmwaregegevens veilig kunnen wissen, zodat ze veilig buiten gebruik kunnen worden gesteld. Voordat apparaten hergebruikt kunnen worden, moet de onderhoudshistorie gecontroleerd worden om de traceerbaarheid en de integriteit van de hardware en firmware te controleren.