[[430291]]

TCG本周宣布成立一個專注于供應(yīng)鏈安全的新工作組。微軟、英特爾和高盛的代表將牽頭創(chuàng)建這個新小組，該小組將致力于制定供應(yīng)鏈安全標(biāo)準(zhǔn)指南。

TCG是一個非營利組織，為可信計(jì)算平臺開發(fā)、定義和推廣開放的和供應(yīng)商中立的行業(yè)規(guī)范和標(biāo)準(zhǔn)，包括廣泛使用的可信平臺模塊(TPM)。其工作組包括云、嵌入式系統(tǒng)、基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、移動、PC客戶端、服務(wù)器、軟件堆棧、存儲、可信網(wǎng)絡(luò)通信、TPM和虛擬化平臺。

新小組有兩個主要目標(biāo)：配置(確保設(shè)備是正品)和恢復(fù)(幫助組織在網(wǎng)絡(luò)攻擊后恢復(fù))。TCG指出，雖然解決方案在短期內(nèi)可能會很昂貴，但與導(dǎo)致整個供應(yīng)鏈癱瘓的網(wǎng)絡(luò)攻擊所產(chǎn)生的成本相比，組織將為它們支付更少的費(fèi)用。

TCG表示：“由于涉及的階段、組織和個人數(shù)量眾多，硬件供應(yīng)鏈難以確保安全，目前的安全方法大多是主觀的，需要人工干預(yù)。由于惡意和假冒硬件極難識別，因此大多數(shù)組織無法獲得成功檢測到的工具、知識或?qū)I(yè)知識。在供應(yīng)鏈安全工作組的指導(dǎo)下，供應(yīng)鏈中的人員將更有能力抵御網(wǎng)絡(luò)威脅。”

過去一年中曝光了幾起影響較大的供應(yīng)鏈攻擊，包括涉及SolarWinds、Codecov和Kaseya的攻擊。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文