微軟、英特爾和高盛將牽頭在可信計算組 (TCG) 成立一個專注於供應鏈安全的新工作組。
在非營利性組織TCG的支援下,為可信計算平臺如廣泛使用的可信平臺模組 (TPM) 開發、定義和推廣開源和供應商中立行業標準和標準。TCG 擁有多個工作組,涉及雲、嵌入式系統、基礎設施、物聯網、手機、PC客戶端、伺服器、軟體棧、儲存、可信網路通訊、TPM和虛擬化平臺等。
TCG認為惡意和假冒硬體特別難以檢測,因為大多陣列織沒有這樣的監測工具或內部知識。
考慮到這一點,該小組將專注於兩個關鍵領域:
1) 提供確保裝置的真實性
2) 幫助組織機構從網路安全攻擊中恢復
TCG注意到短期來看可能解決方案的成本高昂,或者組織機構願意支付的要少於擊垮整個供應鏈造成的成本。
“近 20 年來,TCG 一直在引導行業採用安全計算的技術支援,包括物聯網和嵌入式系統、PC和伺服器、移動裝置和儲存的規範,”工作組聯合主席兼負責人微軟的軟體開發工程師 Dennis Mattoon 說道。
TCG 表示,“由於所牽涉的階段、組織機構和個體以及當前的安全方法基本是主觀的而且要求人進行干預,因此硬體供應鏈的安全性難以保證。由於極其難以識別惡意和偽造的硬體,多陣列織機構無法獲得能夠成功檢測它們的工具、知識或專業技能。在供應鏈安全工作組的指導下,供應鏈安全防護人員能夠更好地對抗網路威脅。”
在Acronis 昨天釋出的一份新報告稱,53% 的全球組織在涉及供應鏈攻擊時存在錯誤的判斷,並且在不應該信任製造商和軟體供應商的情況下信任他們。
其中印度和澳大利亞的IT經理對MFA技術的採用率最低,分別有50%和48%的受訪者根本不使用它,或者只是在一定程度上使用。
報告還統計了整個亞太地區公司,今年遭遇網路攻擊的情況,整體數量持續上升。
就攻擊型別而言,新加坡的公司面臨網路釣魚攻擊的頻率最高佔74%,其次是印度佔58%,澳大利亞佔50。5%。
去年,新加坡50%的公司也面臨惡意軟體攻擊,遠高於全球36%的平均水平,其次是印度,佔46%。
BlueVoyant 上週的另一份報告稱,93% 的全球公司在過去一年中遭遇了與供應鏈相關的漏洞攻擊。此外,從 2020 年到 2021 年,平均違規次數增加了 37%。
在此期間,承認無法知道供應鏈中是否發生事故的人數從 31% 上升到 38%。
此外,雖然 91% 的受訪者表示今年預算增加以幫助應對風險,但投資似乎沒有產生影響。
“預算增加表明,公司意識到需要投資於網路安全和供應商風險管理。然而,一系列痛點表明,這項投資並沒有達到應有的效果,”BlueVoyant 第三方網路風險管理全球負責人 Adam Bixler表示。
在過去的一年中,供應鏈風險非常明顯,諸如SolarWinds 漏洞和勒索軟體攻擊 Kaseya 客戶等知名活動凸顯了對組織的威脅。
BlueVoyant 聲稱,組織必須將其第三方風險管理從靜態調查問卷轉變為持續監控和快速行動,以解決關鍵的新漏洞。
注:本文由E安全編譯報道。
