Sturm說,“回想25年前,英特爾公司最擔(dān)心的問題之一是物理安全性。微處理器體積小,易于存儲(chǔ)和運(yùn)輸,價(jià)格昂貴,成為了竊賊眼中的一種高價(jià)值的目標(biāo)。因此我們必須在交通供應(yīng)鏈方面設(shè)法保護(hù)我們的產(chǎn)品安全。”
Sturm表示,雖然實(shí)體供應(yīng)鏈仍然至關(guān)重要,但過去五年來,這種威脅已轉(zhuǎn)移到數(shù)字領(lǐng)域。她說,“我們每天都在看到圍繞網(wǎng)絡(luò)安全的新威脅出現(xiàn)。不良行為者的成熟度顯然正在提高,他們還以規(guī)模更大的組織為目標(biāo),致力于尋找可以進(jìn)行攻擊的門戶網(wǎng)站。”
如今不是從運(yùn)輸卡車上竊取CPU芯片,而是針對(duì)數(shù)字交換點(diǎn)進(jìn)行攻擊。Sturm指出,這促使許多供應(yīng)商致力于確保運(yùn)行關(guān)鍵基礎(chǔ)設(shè)施所需的復(fù)雜系統(tǒng)不受網(wǎng)絡(luò)攻擊的影響。
無論芯片是在運(yùn)輸途中被截獲,還是由于硬件或軟件漏洞而遭到破壞,對(duì)依賴技術(shù)支撐其供應(yīng)鏈的更廣泛的市場(chǎng)來說,仍然存在著非?,F(xiàn)實(shí)的威脅。
保護(hù)支持基礎(chǔ)設(shè)施
英特爾公司客戶安全戰(zhàn)略與計(jì)劃副總裁兼總經(jīng)理Tom Garrison表示,供應(yīng)鏈的安全性需要考慮整個(gè)平臺(tái)的安全。
他說:“我們聽說過一些設(shè)備被替換的情況,無論是由于假冒原因而導(dǎo)致質(zhì)量風(fēng)險(xiǎn)和安全風(fēng)險(xiǎn),還是進(jìn)行安全攻擊。”
Garrison表示,在將硬件提供給客戶之后,英特爾公司的安全責(zé)任并沒有終止。該設(shè)備需要不斷更新,以確保其免受更新、更嚴(yán)重的攻擊。
這種更新機(jī)制對(duì)英特爾公司來說并不是什么新鮮事。多年來,該公司發(fā)布了大量針對(duì)漏洞的固件補(bǔ)丁。Garrison說,“客戶不一定會(huì)在實(shí)踐中使用它。”
英特爾公司在識(shí)別、報(bào)告和緩解其產(chǎn)品組合中的漏洞方面投入了大量資金,但如果客戶沒有采用適當(dāng)?shù)难a(bǔ)丁程序,那么這些工作都不會(huì)給客戶帶來很多好處。
Garrison說,“我們花費(fèi)大量時(shí)間和精力來確保采用這些設(shè)備的人員的真實(shí)性。我們進(jìn)行多因素身份驗(yàn)證,進(jìn)行生物特征識(shí)別,以確保這些人員的真實(shí)身份。而這只是達(dá)到了一半要求,另一半要求是英特爾公司確保設(shè)備安全,不會(huì)受到破壞。”
未來十年的供應(yīng)鏈安全
在近日出現(xiàn)了兩個(gè)供應(yīng)鏈安全問題:芯片持續(xù)短缺及帶來的相關(guān)安全問題,以及SolarWinds黑客攻擊事件,其惡劣影響在事件披露數(shù)月之后仍在持續(xù)。
Sturm預(yù)計(jì),未來十年在供應(yīng)鏈安全方面將面臨更大的風(fēng)險(xiǎn),并概述了各行業(yè)關(guān)注的三個(gè)關(guān)鍵領(lǐng)域:預(yù)防、檢測(cè)和響應(yīng)。
她說:“隨著防火墻或安全標(biāo)準(zhǔn)的發(fā)展,我們可以保護(hù)自己免受已知漏洞的侵害。但是不良行為者致力于超越那些安全系統(tǒng),所以快速檢測(cè)是下一層防御措施。”
此外,安全研究人員還在3月初披露了一種新的側(cè)通道攻擊事件,這種網(wǎng)絡(luò)攻擊對(duì)英特爾公司的Ice Lake和Coffee Lake架構(gòu)的芯片造成不良影響。
Sturm指出,一旦發(fā)現(xiàn)漏洞,組織必須迅速做出反應(yīng),在它們對(duì)系統(tǒng)造成負(fù)面影響或滲透之前加以緩解。
她說:“當(dāng)然組織很難保證自己不受影響,但是可以做好應(yīng)對(duì)的準(zhǔn)備,如今智能供應(yīng)鏈已經(jīng)在這樣做。我們正在將重點(diǎn)轉(zhuǎn)移到網(wǎng)絡(luò),并了解市場(chǎng)上正在發(fā)生的事情。”
最后,Sturm還呼吁多個(gè)供應(yīng)鏈進(jìn)行更大程度的協(xié)作。她說:“我們從2020年遇到的挑戰(zhàn)中得知,全球范圍內(nèi)的供應(yīng)鏈存在著高度的相互依存性。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。