微軟、英特爾和高盛聯手推出供應鏈安全計劃

微軟、英特爾和高盛將牽頭在可信計算組 (TCG) 成立一個專注于供應鏈安全的新工作組。

在非營利性組織TCG的支持下，為可信計算平臺如廣泛使用的可信平臺模塊 (TPM) 開發、定義和推廣開源和供應商中立行業標準和標準。TCG 擁有多個工作組，涉及云、嵌入式系統、基礎設施、物聯網、手機、PC客戶端、服務器、軟件棧、存儲、可信網絡通信、TPM和虛擬化平臺等。

TCG認為惡意和假冒硬件特別難以檢測，因為大多數組織沒有這樣的監測工具或內部知識。

考慮到這一點，該小組將專注于兩個關鍵領域：

1) 提供確保設備的真實性

2) 幫助組織機構從網絡安全攻擊中恢復

TCG注意到短期來看可能解決方案的成本高昂，或者組織機構愿意支付的要少于擊垮整個供應鏈造成的成本。

“近 20 年來，TCG 一直在引導行業采用安全計算的技術支持，包括物聯網和嵌入式系統、PC和服務器、移動設備和存儲的規范，”工作組聯合主席兼負責人微軟的軟件開發工程師 Dennis Mattoon 說道。

TCG 表示，“由于所牽涉的階段、組織機構和個體以及當前的安全方法基本是主觀的而且要求人進行干預，因此硬件供應鏈的安全性難以保證。由于極其難以識別惡意和偽造的硬件，多數組織機構無法獲得能夠成功檢測它們的工具、知識或專業技能。在供應鏈安全工作組的指導下，供應鏈安全防護人員能夠更好地對抗網絡威脅。”

 在Acronis 昨天發布的一份新報告稱，53% 的全球組織在涉及供應鏈攻擊時存在錯誤的判斷，并且在不應該信任制造商和軟件供應商的情況下信任他們。

其中印度和澳大利亞的IT經理對MFA技術的采用率最低，分別有50%和48%的受訪者根本不使用它，或者只是在一定程度上使用。

報告還統計了整個亞太地區公司，今年遭遇網絡攻擊的情況，整體數量持續上升。

就攻擊類型而言，新加坡的公司面臨網絡釣魚攻擊的頻率最高占74%，其次是印度占58%， 澳大利亞占50.5%。

去年，新加坡50%的公司也面臨惡意軟件攻擊，遠高于全球36%的平均水平，其次是印度，占46%。

BlueVoyant 上周的另一份報告稱，93% 的全球公司在過去一年中遭遇了與供應鏈相關的漏洞攻擊。此外，從 2020 年到 2021 年，平均違規次數增加了 37%。  

在此期間，承認無法知道供應鏈中是否發生事故的人數從 31% 上升到 38%。

此外，雖然 91% 的受訪者表示今年預算增加以幫助應對風險，但投資似乎沒有產生影響。

“預算增加表明，公司意識到需要投資于網絡安全和供應商風險管理。然而，一系列痛點表明，這項投資并沒有達到應有的效果，”BlueVoyant 第三方網絡風險管理全球負責人 Adam Bixler表示。

在過去的一年中，供應鏈風險非常明顯，諸如SolarWinds 漏洞和勒索軟件攻擊 Kaseya 客戶等知名活動凸顯了對組織的威脅。

BlueVoyant 聲稱，組織必須將其第三方風險管理從靜態調查問卷轉變為持續監控和快速行動，以解決關鍵的新漏洞。