微軟、英特爾和高盛將牽頭在可信計算組（TCG）成立一個專注于供應鏈安全的新工作組。

　　在非營利性組織TCG的支持下，為可信計算平臺如廣泛使用的可信平臺模塊（TPM）開發(fā)、定義和推廣開源和供應商中立行業(yè)標準和標準。TCG 擁有多個工作組，涉及云、嵌入式系統(tǒng)、基礎設施、物聯(lián)網、手機、PC客戶端、服務器、軟件棧、存儲、可信網絡通信、TPM和虛擬化平臺等。

　　TCG認為惡意和假冒硬件特別難以檢測，因為大多數(shù)組織沒有這樣的監(jiān)測工具或內部知識。

　　考慮到這一點，該小組將專注于兩個關鍵領域：

　　1） 提供確保設備的真實性

　　2） 幫助組織機構從網絡安全攻擊中恢復

　　TCG注意到短期來看可能解決方案的成本高昂，或者組織機構愿意支付的要少于擊垮整個供應鏈造成的成本。

　　“近 20 年來，TCG 一直在引導行業(yè)采用安全計算的技術支持，包括物聯(lián)網和嵌入式系統(tǒng)、PC和服務器、移動設備和存儲的規(guī)范，”工作組聯(lián)合主席兼負責人微軟的軟件開發(fā)工程師 Dennis Mattoon 說道。

　　TCG 表示，“由于所牽涉的階段、組織機構和個體以及當前的安全方法基本是主觀的而且要求人進行干預，因此硬件供應鏈的安全性難以保證。由于極其難以識別惡意和偽造的硬件，多數(shù)組織機構無法獲得能夠成功檢測它們的工具、知識或專業(yè)技能。在供應鏈安全工作組的指導下，供應鏈安全防護人員能夠更好地對抗網絡威脅?！?/p>

　　在Acronis 昨天發(fā)布的一份新報告稱，53% 的全球組織在涉及供應鏈攻擊時存在錯誤的判斷，并且在不應該信任制造商和軟件供應商的情況下信任他們。

　　其中印度和澳大利亞的IT經理對MFA技術的采用率最低，分別有50%和48%的受訪者根本不使用它，或者只是在一定程度上使用。

　　報告還統(tǒng)計了整個亞太地區(qū)公司，今年遭遇網絡攻擊的情況，整體數(shù)量持續(xù)上升。

　　就攻擊類型而言，新加坡的公司面臨網絡釣魚攻擊的頻率最高占74%，其次是印度占58%，澳大利亞占50.5%。

　　去年，新加坡50%的公司也面臨惡意軟件攻擊，遠高于全球36%的平均水平，其次是印度，占46%。

　　BlueVoyant 上周的另一份報告稱，93% 的全球公司在過去一年中遭遇了與供應鏈相關的漏洞攻擊。此外，從 2020 年到 2021 年，平均違規(guī)次數(shù)增加了 37%。

　　在此期間，承認無法知道供應鏈中是否發(fā)生事故的人數(shù)從 31% 上升到 38%。

　　此外，雖然 91% 的受訪者表示今年預算增加以幫助應對風險，但投資似乎沒有產生影響。

　　“預算增加表明，公司意識到需要投資于網絡安全和供應商風險管理。然而，一系列痛點表明，這項投資并沒有達到應有的效果，”BlueVoyant 第三方網絡風險管理全球負責人 Adam Bixler表示。

　　在過去的一年中，供應鏈風險非常明顯，諸如SolarWinds 漏洞和勒索軟件攻擊 Kaseya 客戶等知名活動凸顯了對組織的威脅。

　　BlueVoyant 聲稱，組織必須將其第三方風險管理從靜態(tài)調查問卷轉變?yōu)槌掷m(xù)監(jiān)控和快速行動，以解決關鍵的新漏洞。