10 views

现在需要什么:供应链完整性测试

By | 2019年1月28日

听听所有想成为企业家的安全专家!SANS研究所新兴安全趋势总监John Pescatore 看到了技术安全的下一件大事。在Pescatore看来,对供应链完整性测试的需求越来越大。

随着爱德华·斯诺登(Edward Snowden)的文件泄露所有数字间谍漏洞,现在人们普遍缺乏对我们用于构建和管理网络的硬件和软件的信任。去年12月,德国杂志Der Spiegel发表了一篇文章概述美国国家安全局应该如何编制类似于目录的内容,该目录列出了NSA员工可以获取的各种工具以利用其目标数据。该杂志称,美国国家安全局可以默默地从瞻博网络,思科,戴尔,华为等公司闯入商业产品,以窥探已部署这些技术的公司。

甚至在此之前,有人指责来自中国公司Hauwei和中兴通讯公司的电信产品有后门允许中国政府拦截世界通信。Pescatore表示问题非常严重,以至于华为资助了英国的一个测试中心,以便英国电信可以验证它在网络中的设备的完整性。

当Pescatore是Gartner的分析师时,他从另一家中国供应商NSFocus那里了解了他们如何试图进入美国市场。“他们上面有一只大象的幻灯片,”他说。“是的,那代表了’房间里的大象’。” 为什么美国的任何人都信任中国公司的安全设备呢?“Pescatore表示,NSFocus通过支付美国公司Vericode来进行软件检测和软件测试,从而减轻了潜在客户的担忧。“这与英国与华为的做法基本相同。Vericode将检查他们的代码并向任何想要购买NSFocus设备的人证明它完成了应该做的事情并且没有隐藏的功能或后门。“

如今,产品组件的制造和采购来自世界各地。实际上不可能说,“我只想在我的网络上使用美国制造的产品。”即使该服务器或路由器上可能有美国公司的标识,但很可能这些组件是在国外制造的,可能是在国外组装的。这为间谍提供了充足的机会来加载软件,这些软件可以在安装设备后秘密监控您的活动。相反,许多人现在认为美国产品带有隐藏的软件,允许政府监视购买者。

那么对于有安全意识的企业家来说,这是一个多么好 Pescatore认为我们需要一个中立的第三方测试实验室,供应商或最终客户可以携带设备或软件对其进行彻底的检查和测试,以确定任何不应存在的内容。Pescatore说,美国政府正在进行一些这样的举措,但私营部门需要类似的东西。

“如果你考虑支付卡行业,”Pescatore说,“它有销售点终端的标准。基本上有一个认证计划。销售销售点终端的人知道客户要刷信用卡,因此他们必须让某人检查并测试这些设备,以确保他们没有预先配置允许犯罪分子访问的软件设备和窃取支付数据。“他说我们现在需要这种相同的计算机设备功能 – 特别是安全设备。

企业家,你在听吗?风险投资家,拿出你的支票簿。计算机供应链完整性测试可能是下一个赚钱的大户,因为公司需要保证他们安装的硬件和软件。

发表评论

电子邮件地址不会被公开。 必填项已用*标注