《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 微軟、英特爾和高盛聯(lián)手推出供應(yīng)鏈安全計(jì)劃

微軟、英特爾和高盛聯(lián)手推出供應(yīng)鏈安全計(jì)劃

2021-10-22
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
關(guān)鍵詞: 供應(yīng)鏈安全

  微軟、英特爾和高盛將牽頭在可信計(jì)算組(TCG)成立一個(gè)專注于供應(yīng)鏈安全的新工作組。

  在非營(yíng)利性組織TCG的支持下,為可信計(jì)算平臺(tái)如廣泛使用的可信平臺(tái)模塊(TPM)開(kāi)發(fā)、定義和推廣開(kāi)源和供應(yīng)商中立行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。TCG 擁有多個(gè)工作組,涉及云、嵌入式系統(tǒng)、基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、手機(jī)、PC客戶端、服務(wù)器、軟件棧、存儲(chǔ)、可信網(wǎng)絡(luò)通信、TPM和虛擬化平臺(tái)等。

  TCG認(rèn)為惡意和假冒硬件特別難以檢測(cè),因?yàn)榇蠖鄶?shù)組織沒(méi)有這樣的監(jiān)測(cè)工具或內(nèi)部知識(shí)。

  考慮到這一點(diǎn),該小組將專注于兩個(gè)關(guān)鍵領(lǐng)域:

  1) 提供確保設(shè)備的真實(shí)性

  2) 幫助組織機(jī)構(gòu)從網(wǎng)絡(luò)安全攻擊中恢復(fù)

  TCG注意到短期來(lái)看可能解決方案的成本高昂,或者組織機(jī)構(gòu)愿意支付的要少于擊垮整個(gè)供應(yīng)鏈造成的成本。

  “近 20 年來(lái),TCG 一直在引導(dǎo)行業(yè)采用安全計(jì)算的技術(shù)支持,包括物聯(lián)網(wǎng)和嵌入式系統(tǒng)、PC和服務(wù)器、移動(dòng)設(shè)備和存儲(chǔ)的規(guī)范,”工作組聯(lián)合主席兼負(fù)責(zé)人微軟的軟件開(kāi)發(fā)工程師 Dennis Mattoon 說(shuō)道。

  TCG 表示,“由于所牽涉的階段、組織機(jī)構(gòu)和個(gè)體以及當(dāng)前的安全方法基本是主觀的而且要求人進(jìn)行干預(yù),因此硬件供應(yīng)鏈的安全性難以保證。由于極其難以識(shí)別惡意和偽造的硬件,多數(shù)組織機(jī)構(gòu)無(wú)法獲得能夠成功檢測(cè)它們的工具、知識(shí)或?qū)I(yè)技能。在供應(yīng)鏈安全工作組的指導(dǎo)下,供應(yīng)鏈安全防護(hù)人員能夠更好地對(duì)抗網(wǎng)絡(luò)威脅?!?/p>

  在Acronis 昨天發(fā)布的一份新報(bào)告稱,53% 的全球組織在涉及供應(yīng)鏈攻擊時(shí)存在錯(cuò)誤的判斷,并且在不應(yīng)該信任制造商和軟件供應(yīng)商的情況下信任他們。

  其中印度和澳大利亞的IT經(jīng)理對(duì)MFA技術(shù)的采用率最低,分別有50%和48%的受訪者根本不使用它,或者只是在一定程度上使用。

  報(bào)告還統(tǒng)計(jì)了整個(gè)亞太地區(qū)公司,今年遭遇網(wǎng)絡(luò)攻擊的情況,整體數(shù)量持續(xù)上升。

  就攻擊類型而言,新加坡的公司面臨網(wǎng)絡(luò)釣魚(yú)攻擊的頻率最高占74%,其次是印度占58%,澳大利亞占50.5%。

  去年,新加坡50%的公司也面臨惡意軟件攻擊,遠(yuǎn)高于全球36%的平均水平,其次是印度,占46%。

  BlueVoyant 上周的另一份報(bào)告稱,93% 的全球公司在過(guò)去一年中遭遇了與供應(yīng)鏈相關(guān)的漏洞攻擊。此外,從 2020 年到 2021 年,平均違規(guī)次數(shù)增加了 37%。

  在此期間,承認(rèn)無(wú)法知道供應(yīng)鏈中是否發(fā)生事故的人數(shù)從 31% 上升到 38%。

  此外,雖然 91% 的受訪者表示今年預(yù)算增加以幫助應(yīng)對(duì)風(fēng)險(xiǎn),但投資似乎沒(méi)有產(chǎn)生影響。

  “預(yù)算增加表明,公司意識(shí)到需要投資于網(wǎng)絡(luò)安全和供應(yīng)商風(fēng)險(xiǎn)管理。然而,一系列痛點(diǎn)表明,這項(xiàng)投資并沒(méi)有達(dá)到應(yīng)有的效果,”BlueVoyant 第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理全球負(fù)責(zé)人 Adam Bixler表示。

  在過(guò)去的一年中,供應(yīng)鏈風(fēng)險(xiǎn)非常明顯,諸如SolarWinds 漏洞和勒索軟件攻擊 Kaseya 客戶等知名活動(dòng)凸顯了對(duì)組織的威脅。

  BlueVoyant 聲稱,組織必須將其第三方風(fēng)險(xiǎn)管理從靜態(tài)調(diào)查問(wèn)卷轉(zhuǎn)變?yōu)槌掷m(xù)監(jiān)控和快速行動(dòng),以解決關(guān)鍵的新漏洞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。