通过更强大，透明的链接锻造计算机供应链

 
想象您有X射线视力。您可以查看服务器或PC，并查​​看其中的每个部件。您知道在每个人的整个生命周期中，每个人在何时何地制造，安装和更新零件。无论您是制造商还是采购商，都可以轻松(或更轻松地)发现可疑零件和供应商。同上应对潜在的硬件，软件和固件威胁。按下按钮和ZAP!问题已标记或消失。
供应链跟踪和情报的新发展正在使这些超级大国更加接近(无论如何，现在要减去X射线视觉)。下一代系统有望为生态系统和行业提供所需的透明性和安全性，以抵御当今最大的两个供应链威胁：伪造和固件利用。
如今，已经可以从设备中获得一系列新见解-从验证订购的硬件是否与所收到的硬件相匹配，到改进的组件级跟踪以进行可靠性分析，以及帮助识别安全问题。更多功能正在开发中。
对于许多人来说，还为时过早。
利用燃料日益增长的关注
黑客，假冒产品和恐慌事件的持续增加，在安全领导者，最高管理层，董事会，法规遵从，投资者，并购，法律，营销人员和公关等许多议程上都增加了对技术零件和供应链的担忧。
在私有和公共部门中，人们越来越担心仿冒品，灰色市场部分以及非法硬件和软件，它们会窃取数据，关闭关键系统并损害声誉，企业，行业，国家安全以及当今超连接的整个部门世界经济。
“技术设计，开发，制造和分销的全球化创造了一个复杂的供应链，透明性受到限制。”英特尔执行副总裁兼产品保证与安全总经理莱斯利·库尔伯森说。 “越来越需要在计算生命周期的每个阶段提供平台完整性的保证，并以尽可能透明的方式做到这一点。”
那么，管理全球供应链中不断上升的风险的最佳方法是什么?各种组织如何在不抑制增长的情况下努力提高安全性和完整性?这是一个热门话题-即使标题中没有“供应链”。
生态系统保护
政府的应对措施主要集中在法规，立法和贸易行动上，例如限制和禁止与可疑公司和国家开展业务。最突出的是：去年5月的总统行政命令禁止向特定的敌对国家出售或购买某些电子产品。 2018年《安全技术法》赋予美国联邦机构新的权力，可在购买产品时考虑供应链风险。尽管这些措施在整体方法中起着关键作用，但它们只是解决方案的一部分。
团结主要联邦和商业利益的公私联盟是第二条重点。
私营部门的行动是另一个至关重要的部分。对于制造商，分销商和采购商而言，在特定的生态系统中保持严格的控制，可见性和验证是帮助防御供应链攻击的最佳方法之一。
一个领先的例子是英特尔®透明供应链工具。它们于2015年试行，是一套政策和程序，可通过帮助改善前所未有的问责制和可追溯性来帮助经销商和最终客户管理风险。它既是有效的当前系统，也是进一步发展的路线图。
怎么运行的
在生态系统中的每个制造场所，软件都会生成“构建”数据。这是设备中包括BIOS在内的所有内容的成分清单。每一块都从可信平台模块中获得唯一的证书标识符。数据通过密码链接到设备后，就被上传到安全的云服务器。会员制造商和购买者可以下载数据集或通过安全的网络门户访问它们。
英特尔安全工程师Charlie Stark解释说：“许多制造商提供了有关构建数据的电子表格。采取这一额外步骤的价值在于，现在有了一种加密的可追踪方式，可以证明您所查看的数据不是有关所有设备的通用数据。这是您手中设备的具体数据。”
回答关键问题
透明，安全的供应链可见性系统提供的深层信息可帮助生态系统中的每个人在设备生命周期的每个阶段回答关键问题：
内部版本：设备中包含哪些组件?
转移设备是否按出厂时到达?
操作：设备是否安全更新和维护?
退休：退回的设备是否符合预期? (需要功能自动验证)
加强问责制和保证
拥有这种系统级和组件级的可跟踪性，可以极大地提高链中每个涉及人员的可见性，信任度和安全性。它为生态系统创建了一个窗口，可自动执行合规性，预防和补救措施。
产品和组件：用户可以检查各个序列号，工作单号，制造商，日期，位置，产品组等。计划的分析功能将可以跟踪特定产品的标签，标识和可靠性。例如，如果召回某些组件，则可以跟踪受影响的设备。
供应商和供应商：用户可以识别来自可疑企业，未经批准，来自间谍活动风险高的敌对地区或遭受高故障率和停机时间困扰的供应商。 “例如，如果32台ATM发生故障，并且它们都装有同一公司，同一批次的电压调节器，则可以快速识别它们，” Stark解释说。
在更宏观的层面上，安全的生态系统可以为整个行业，全国乃至全球保护提供重要的基石和基础。当与其他生态系统和产业联系在一起时，它们为法律法规提供了至关重要的补充。结果是需要一套全面而互锁的保护措施，以应对对私营和公共部门日益增长的威胁。
现在是什么，下一步是什么
英特尔已经在其NUC微型PC和英特尔服务器产品S2600系列中实现了供应链透明度的功能。后者是为第三方(包括主要的云服务提供商和OEM)量产的“白盒”系统。正在计划扩展到其他产品和系统。
生态系统安全的成功需要主要合作伙伴的参与。一级OEM供应商一直在积极采用和使用英特尔透明供应链工具，以帮助确保其自身产品和合作伙伴的透明度和信任度。
例如，联想今天已在部分Intel Core商用笔记本电脑上支持TSC，并计划支持所有商用PC及其基于Intel Xeon-SP的服务器系统。其他服务器和PC OEM厂商可能会迅速跟进，以响应不断增长的客户对提高数据水平和透明度的需求。
根据Stark的说法，总体目标是包括所有生态系统参与者-买卖双方。供应链安全专家强烈鼓励这一步骤。正如埃森哲(Accenture)在最近的一份报告中得出的结论：“现在不是完美隔离的时候。您的生态系统需要您。”
扩展：工业和区块链
下一步，英特尔希望将透明的供应链作为整个计算机行业的标准。 Stark承认，这是一个很大的目标。他说：“但是，工业界以前已经解决了巨大的全球性挑战。” “请考虑从汽油或无冲突钻石中去除铅。这是完全可行的。”
12月，英特尔推出了“计算生命周期保障计划”，业界的努力迈出了重要的一步。 Culberston解释说：“愿景是在整个计算生命周期的各个阶段协调行业并为客户带来更大的透明度。”
而且，如果这听起来像是区块链的自然应用，那您是对的。添加该技术强大的跟踪功能将创建强大的互信模型，并删除产品数据作为攻击者的攻击蜜罐。英特尔在RSA 2019上展示了此功能，并继续在一家主要行业的制造商进行试验。敬请关注。
消除薄弱环节
没有保护措施可以每次都阻止所有事件。专家预测，供应链攻击将继续升级，也许会急剧上升。全生态系统的可见性和责任感是抵御日益增长的供应链攻击浪潮的有力防御。
还不是X光检查但是，建立在诸如英特尔®透明供应链这样的前沿系统上，是发现和消除薄弱环节并帮助确保我们的计算基础架构安全和按预期方式运行的最佳方法之一。