微軟、英特爾和高盛聯(lián)手推出供應(yīng)鏈安全計(jì)劃

E安全
微軟、英特爾和高盛將牽頭在可信計(jì)算組(TCG)成立一個(gè)專注于供應(yīng)鏈安全的新工作組。在非營(yíng)利性組織TCG的支持下,為可信計(jì)算平臺(tái)如廣泛使用的可信平臺(tái)模塊(TPM)開發(fā)、定義和推廣開源和供應(yīng)商中立行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。TCG擁有多個(gè)工作組,涉及云、嵌入式系統(tǒng)、基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、手機(jī)、PC客戶端、服務(wù)器、軟件棧、存儲(chǔ)、可信網(wǎng)絡(luò)通信、TPM和虛擬化平臺(tái)等。

微軟、英特爾和高盛將牽頭在可信計(jì)算組(TCG)成立一個(gè)專注于供應(yīng)鏈安全的新工作組。

在非營(yíng)利性組織TCG的支持下,為可信計(jì)算平臺(tái)如廣泛使用的可信平臺(tái)模塊(TPM)開發(fā)、定義和推廣開源和供應(yīng)商中立行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。TCG擁有多個(gè)工作組,涉及云、嵌入式系統(tǒng)、基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、手機(jī)、PC客戶端、服務(wù)器、軟件棧、存儲(chǔ)、可信網(wǎng)絡(luò)通信、TPM和虛擬化平臺(tái)等。

TCG認(rèn)為惡意和假冒硬件特別難以檢測(cè),因?yàn)榇蠖鄶?shù)組織沒有這樣的監(jiān)測(cè)工具或內(nèi)部知識(shí)。

考慮到這一點(diǎn),該小組將專注于兩個(gè)關(guān)鍵領(lǐng)域:

1)提供確保設(shè)備的真實(shí)性

2)幫助組織機(jī)構(gòu)從網(wǎng)絡(luò)安全攻擊中恢復(fù)

TCG注意到短期來看可能解決方案的成本高昂,或者組織機(jī)構(gòu)愿意支付的要少于擊垮整個(gè)供應(yīng)鏈造成的成本。

“近20年來,TCG一直在引導(dǎo)行業(yè)采用安全計(jì)算的技術(shù)支持,包括物聯(lián)網(wǎng)和嵌入式系統(tǒng)、PC和服務(wù)器、移動(dòng)設(shè)備和存儲(chǔ)的規(guī)范,”工作組聯(lián)合主席兼負(fù)責(zé)人微軟的軟件開發(fā)工程師Dennis Mattoon說道。

TCG表示,“由于所牽涉的階段、組織機(jī)構(gòu)和個(gè)體以及當(dāng)前的安全方法基本是主觀的而且要求人進(jìn)行干預(yù),因此硬件供應(yīng)鏈的安全性難以保證。由于極其難以識(shí)別惡意和偽造的硬件,多數(shù)組織機(jī)構(gòu)無法獲得能夠成功檢測(cè)它們的工具、知識(shí)或?qū)I(yè)技能。在供應(yīng)鏈安全工作組的指導(dǎo)下,供應(yīng)鏈安全防護(hù)人員能夠更好地對(duì)抗網(wǎng)絡(luò)威脅。”

在Acronis昨天發(fā)布的一份新報(bào)告稱,53%的全球組織在涉及供應(yīng)鏈攻擊時(shí)存在錯(cuò)誤的判斷,并且在不應(yīng)該信任制造商和軟件供應(yīng)商的情況下信任他們。

其中印度和澳大利亞的IT經(jīng)理對(duì)MFA技術(shù)的采用率最低,分別有50%和48%的受訪者根本不使用它,或者只是在一定程度上使用。

報(bào)告還統(tǒng)計(jì)了整個(gè)亞太地區(qū)公司,今年遭遇網(wǎng)絡(luò)攻擊的情況,整體數(shù)量持續(xù)上升。

就攻擊類型而言,新加坡的公司面臨網(wǎng)絡(luò)釣魚攻擊的頻率最高占74%,其次是印度占58%,澳大利亞占50.5%。

去年,新加坡50%的公司也面臨惡意軟件攻擊,遠(yuǎn)高于全球36%的平均水平,其次是印度,占46%。

BlueVoyant上周的另一份報(bào)告稱,93%的全球公司在過去一年中遭遇了與供應(yīng)鏈相關(guān)的漏洞攻擊。此外,從2020年到2021年,平均違規(guī)次數(shù)增加了37%。

在此期間,承認(rèn)無法知道供應(yīng)鏈中是否發(fā)生事故的人數(shù)從31%上升到38%。

此外,雖然91%的受訪者表示今年預(yù)算增加以幫助應(yīng)對(duì)風(fēng)險(xiǎn),但投資似乎沒有產(chǎn)生影響。

“預(yù)算增加表明,公司意識(shí)到需要投資于網(wǎng)絡(luò)安全和供應(yīng)商風(fēng)險(xiǎn)管理。然而,一系列痛點(diǎn)表明,這項(xiàng)投資并沒有達(dá)到應(yīng)有的效果,”BlueVoyant第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理全球負(fù)責(zé)人Adam Bixler表示。

在過去的一年中,供應(yīng)鏈風(fēng)險(xiǎn)非常明顯,諸如SolarWinds漏洞和勒索軟件攻擊Kaseya客戶等知名活動(dòng)凸顯了對(duì)組織的威脅。

BlueVoyant聲稱,組織必須將其第三方風(fēng)險(xiǎn)管理從靜態(tài)調(diào)查問卷轉(zhuǎn)變?yōu)槌掷m(xù)監(jiān)控和快速行動(dòng),以解決關(guān)鍵的新漏洞。

注:本文由E安全編譯報(bào)道。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論

本月熱門

精選文章

熱點(diǎn)資訊