微軟、英特爾和高盛聯手推出供應鏈安全計劃

微軟、英特爾和高盛將牽頭在可信計算組 (TCG) 成立一個專註於供應鏈安全的新工作組。

 

在非營利性組織TCG的支持下,為可信計算平臺如廣泛使用的可信平臺模塊 (TPM) 開發、定義和推廣開源和供應商中立行業標準和標準。TCG 擁有多個工作組,涉及雲、嵌入式系統、基礎設施、物聯網、手機、PC客戶端、服務器、軟件棧、存儲、可信網絡通信、TPM和虛擬化平臺等。

 

TCG認為惡意和假冒硬件特別難以檢測,因為大多數組織沒有這樣的監測工具或內部知識。

考慮到這一點,該小組將專註於兩個關鍵領域:

1) 提供確保設備的真實性

2) 幫助組織機構從網絡安全攻擊中恢復

TCG註意到短期來看可能解決方案的成本高昂,或者組織機構願意支付的要少於擊垮整個供應鏈造成的成本。

 

“近 20 年來,TCG 一直在引導行業采用安全計算的技術支持,包括物聯網和嵌入式系統、PC和服務器、移動設備和存儲的規范,”工作組聯合主席兼負責人微軟的軟件開發工程師 Dennis Mattoon 說道。

 

TCG 表示,“由於所牽涉的階段、組織機構和個體以及當前的安全方法基本是主觀的而且要求人進行幹預,因此硬件供應鏈的安全性難以保證。由於極其難以識別惡意和偽造的硬件,多數組織機構無法獲得能夠成功檢測它們的工具、知識或專業技能。在供應鏈安全工作組的指導下,供應鏈安全防護人員能夠更好地對抗網絡威脅。”

 

 在Acronis 昨天發佈的一份新報告稱,53% 的全球組織在涉及供應鏈攻擊時存在錯誤的判斷,並且在不應該信任制造商和軟件供應商的情況下信任他們。

 

其中印度和澳大利亞的IT經理對MFA技術的采用率最低,分別有50%和48%的受訪者根本不使用它,或者隻是在一定程度上使用。

 

報告還統計瞭整個亞太地區公司,今年遭遇網絡攻擊的情況,整體數量持續上升。

就攻擊類型而言,新加坡的公司面臨網絡釣魚攻擊的頻率最高占74%,其次是印度占58%,澳大利亞占50.5%。

去年,新加坡50%的公司也面臨惡意軟件攻擊,遠高於全球36%的平均水平,其次是印度,占46%。

BlueVoyant 上周的另一份報告稱,93% 的全球公司在過去一年中遭遇瞭與供應鏈相關的漏洞攻擊。此外,從 2020 年到 2021 年,平均違規次數增加瞭 37%。

 

在此期間,承認無法知道供應鏈中是否發生事故的人數從 31% 上升到 38%。

此外,雖然 91% 的受訪者表示今年預算增加以幫助應對風險,但投資似乎沒有產生影響。

“預算增加表明,公司意識到需要投資於網絡安全和供應商風險管理。然而,一系列痛點表明,這項投資並沒有達到應有的效果,”BlueVoyant 第三方網絡風險管理全球負責人 Adam Bixler表示。

 

在過去的一年中,供應鏈風險非常明顯,諸如SolarWinds 漏洞和勒索軟件攻擊 Kaseya 客戶等知名活動凸顯瞭對組織的威脅。

 

BlueVoyant 聲稱,組織必須將其第三方風險管理從靜態調查問卷轉變為持續監控和快速行動,以解決關鍵的新漏洞。

  • 黑客盜取阿根廷全國人口身份信息並進行兜售

  • 即使遮蓋ATM機也能被猜出銀行卡密碼

  • 用來封鎖廣告的擴展程序卻在幫黑客賺取收益

  • 厄瓜多爾最大私人銀行遭大規模網絡攻擊致業務被迫中斷

  • 針對網絡安全,谷歌又有新動作瞭!

  • 美國奎斯特診斷公司承認35萬名患者醫療資料被泄露

  • 快速數字化下的智慧城市顯現更多網絡安全問題

註:本文由E安全編譯報道。

E安全新設溝通交流社群

定期更新咨詢,還有活動  小禮物可參與,歡迎加入

合作、入群請加微信!