[[430291]]

TCG本周宣布成立一個(gè)專(zhuān)注于供應(yīng)鏈安全的新工作組。微軟、英特爾和高盛的代表將牽頭創(chuàng)建這個(gè)新小組，該小組將致力于制定供應(yīng)鏈安全標(biāo)準(zhǔn)指南。

TCG是一個(gè)非營(yíng)利組織，為可信計(jì)算平臺(tái)開(kāi)發(fā)、定義和推廣開(kāi)放的和供應(yīng)商中立的行業(yè)規(guī)范和標(biāo)準(zhǔn)，包括廣泛使用的可信平臺(tái)模塊(TPM)。其工作組包括云、嵌入式系統(tǒng)、基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、移動(dòng)、PC客戶(hù)端、服務(wù)器、軟件堆棧、存儲(chǔ)、可信網(wǎng)絡(luò)通信、TPM和虛擬化平臺(tái)。

新小組有兩個(gè)主要目標(biāo)：配置(確保設(shè)備是正品)和恢復(fù)(幫助組織在網(wǎng)絡(luò)攻擊后恢復(fù))。TCG指出，雖然解決方案在短期內(nèi)可能會(huì)很昂貴，但與導(dǎo)致整個(gè)供應(yīng)鏈癱瘓的網(wǎng)絡(luò)攻擊所產(chǎn)生的成本相比，組織將為它們支付更少的費(fèi)用。

TCG表示：“由于涉及的階段、組織和個(gè)人數(shù)量眾多，硬件供應(yīng)鏈難以確保安全，目前的安全方法大多是主觀(guān)的，需要人工干預(yù)。由于惡意和假冒硬件極難識(shí)別，因此大多數(shù)組織無(wú)法獲得成功檢測(cè)到的工具、知識(shí)或?qū)I(yè)知識(shí)。在供應(yīng)鏈安全工作組的指導(dǎo)下，供應(yīng)鏈中的人員將更有能力抵御網(wǎng)絡(luò)威脅。”

過(guò)去一年中曝光了幾起影響較大的供應(yīng)鏈攻擊，包括涉及SolarWinds、Codecov和Kaseya的攻擊。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文