[[430291]]

TCG本周宣布成立一個專注于供應鏈安全的新工作組。微軟、英特爾和高盛的代表將牽頭創建這個新小組，該小組將致力于制定供應鏈安全標準指南。

TCG是一個非營利組織，為可信計算平臺開發、定義和推廣開放的和供應商中立的行業規范和標準，包括廣泛使用的可信平臺模塊(TPM)。其工作組包括云、嵌入式系統、基礎設施、物聯網、移動、PC客戶端、服務器、軟件堆棧、存儲、可信網絡通信、TPM和虛擬化平臺。

新小組有兩個主要目標：配置(確保設備是正品)和恢復(幫助組織在網絡攻擊后恢復)。TCG指出，雖然解決方案在短期內可能會很昂貴，但與導致整個供應鏈癱瘓的網絡攻擊所產生的成本相比，組織將為它們支付更少的費用。

TCG表示：“由于涉及的階段、組織和個人數量眾多，硬件供應鏈難以確保安全，目前的安全方法大多是主觀的，需要人工干預。由于惡意和假冒硬件極難識別，因此大多數組織無法獲得成功檢測到的工具、知識或專業知識。在供應鏈安全工作組的指導下，供應鏈中的人員將更有能力抵御網絡威脅。”

過去一年中曝光了幾起影響較大的供應鏈攻擊，包括涉及SolarWinds、Codecov和Kaseya的攻擊。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文