Con quái vật trong tủ quần áo: Rủi ro chuỗi cung ứng

Tháng 10 trùng với ‘mùa ma quái’ ở nhiều quốc gia, có thể gợi lên những câu chuyện đáng sợ về ma, kỵ sĩ không đầu và những thứ khác có thể khiến chúng ta thức giấc vào ban đêm. Đối với những người làm trong lĩnh vực an ninh mạng như chúng tôi, có những câu chuyện đáng sợ khác khiến chúng tôi thức trắng đêm suốt cả năm: các hoạt động bất chính khiến thiết bị, dữ liệu và hệ thống của mọi người hoạt động liên tục cả ngày lẫn đêm.

Bạn đã nghe nói về các loại tấn công thông thường – email lừa đảo, tấn công ransomware và những thứ tương tự. Đây là phần thậm chí còn đáng sợ hơn… ngay cả khi bạn thực hành gửi email và lướt web an toàn, bạn có thể đã nhiễm phần mềm độc hại vào thiết bị của mình ngay cả trước khi khởi động. Đó là bởi vì các hoạt động độc hại có thể xảy ra trong quá trình sản xuất máy tính của bạn nếu các hoạt động chuỗi cung ứng của nhà sản xuất thiết bị gốc (OEM) của bạn không an toàn như chúng có thể.

Bạn có thể hình dung chuỗi cung ứng giống như những chiếc xe tải lăn bánh trên đường cao tốc hoặc những đoàn tàu chất đầy hàng hóa chạy trên đường ray. Và vâng, đó là những quan điểm truyền thống về chuỗi cung ứng của những thứ di chuyển trên khắp thế giới. Nhưng trên thực tế, chuỗi cung ứng ngày nay rất phức tạp và liên kết với nhau trên toàn cầu.

Do có nhiều điểm tiếp xúc, chuỗi cung ứng đã trở thành một phương tiện tấn công chính. Ví dụ: 62% các vụ vi phạm mạng được cho là do các lỗ hổng trong chuỗi cung ứng, theo Báo cáo Điều tra Vi phạm Dữ liệu năm 2022 của Verizon.¹ Phần cứng PC (chip và bo mạch chủ) có nguy cơ gặp rủi ro. Phần sụn cũng vậy, bộ não đằng sau cỗ máy của bạn. Và đừng quên về an ninh vật lý của các cơ sở và con người. Làm thế nào để bạn giảm cơ hội thỏa hiệp chuỗi cung ứng? Đưa vấn đề bảo mật vào quy trình đánh giá của bạn mỗi khi bạn làm việc với OEM để mua thiết bị. Hãy nhớ rằng chuỗi cung ứng của OEM hiện là chuỗi cung ứng của bạn – và bạn sẽ có lợi nhất khi làm việc với các OEM đầu tư sâu vào bảo mật cho chuỗi cung ứng của họ.

Dell không chỉ xây dựng tính bảo mật cho các sản phẩm của mình – chúng tôi xây dựng các sản phẩm một cách an toàn. Điều này bao gồm phần cứng, phần mềm và phần sụn được sử dụng. Bảo mật bắt đầu với thiết kế của sản phẩm và Dell có Vòng đời phát triển bảo mật (SDL) được thiết lập tốt, đảm bảo bảo mật được tích hợp ngay từ khái niệm ban đầu. Chúng tôi ưu tiên đầu tư vào các quy trình và biện pháp kiểm soát mạnh mẽ được nhúng trong toàn bộ chuỗi cung ứng của mình. Trên thực tế, bảo mật chuỗi cung ứng là ưu tiên hàng đầu của Dell. Sức mạnh của chuỗi cung ứng Dell trải dài qua nhiều địa điểm sản xuất, nhà máy Dell, nhà máy cung cấp trực tiếp các linh kiện và bộ phận, cũng như các đối tác sản xuất thiết kế gốc (ODM) của chúng tôi.

Ngoài ra, các trang web hoạt động “liên lạc thứ hai” của chúng tôi cung cấp các dịch vụ giá trị gia tăng cho khách hàng để phù hợp với nhu cầu riêng của họ. Mỗi bước của quá trình bao gồm các quy trình để đảm bảo an ninh và vận hành theo các tiêu chuẩn quản lý chất lượng nghiêm ngặt và được lập thành văn bản, bao gồm quá trình lắp ráp, cài đặt phần mềm, kiểm tra chức năng và kiểm soát chất lượng.

Để đảm bảo chất lượng và bảo mật cho các thiết bị và linh kiện mà đối tác sản xuất, Dell thực hiện các quy trình sàng lọc đối tác nghiêm ngặt. Việc kiểm tra đối tác thường xuyên và định kỳ không chỉ tăng cường chất lượng và bảo mật mà còn đảm bảo tuân thủ các tiêu chuẩn bảo mật chuỗi cung ứng toàn diện do Dell phát triển và duy trì. Ngoài các tiêu chuẩn này, các nhà sản xuất thiết bị Dell thường xuyên kiểm tra các bộ phận để đảm bảo các sản phẩm giả mạo không lọt vào chuỗi cung ứng.

Để giảm thiểu rủi ro hơn nữa, các quy trình của chúng tôi có mã số nhận dạng bộ phận duy nhất (PPID) và nhãn được gắn với thông tin này cho các thành phần rủi ro cao cụ thể. Nhãn này chứa thông tin về nhà cung cấp, số bộ phận, nước xuất xứ và ngày sản xuất. Điều này cho phép Dell xác định, xác thực, theo dõi và xác thực các thành phần này để đảm bảo khách hàng nhận được những gì đã được đặt hàng và vận chuyển.

Từ góc độ giao hàng, các hoạt động vận chuyển hàng hóa của chúng tôi được bảo vệ bởi các lớp bảo mật vật lý, với cơ chế khóa cửa và nhiều thiết bị theo dõi được thiết kế để phát hiện, cho phép Dell xác định xem thiết bị có bị giả mạo trong quá trình vận chuyển hay không. Các thiết bị của Dell cũng có các công nghệ phát hiện giả mạo, cung cấp một mức độ bảo vệ bổ sung. Các dịch vụ chuỗi cung ứng bổ sung có sẵn cho những khách hàng quan tâm đến các lớp bảo mật thậm chí còn lớn hơn. Các dịch vụ này bao gồm các con dấu chống giả mạo và tính năng xóa sạch ổ cứng ở cấp độ Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), giúp xóa dữ liệu, giảm bớt mối lo ngại của quản trị viên CNTT về việc xóa vĩnh viễn mọi dữ liệu trước đó.

Một phần quan trọng khác trong bảo mật chuỗi cung ứng của Dell dành cho các thiết bị thương mại của chúng tôi là các chứng chỉ nền tảng được ký bằng mật mã, ghi lại các thuộc tính ảnh chụp nhanh của các nền tảng trong quá trình sản xuất, thử nghiệm lắp ráp và tích hợp. Các thuộc tính này sau đó được liên kết bằng mật mã với thiết bị cụ thể bằng cách sử dụng mô-đun nền tảng đáng tin cậy (hoặc TPM) làm gốc phần cứng đáng tin cậy để đảm bảo các thiết bị không bị giả mạo. Khả năng này, được cung cấp dưới dạng Xác minh thành phần bảo mật (SCV), sẽ sớm khả dụng cho khách hàng trong khu vực liên bang với tính khả dụng mở rộng.

Các quy trình chuỗi cung ứng của Dell giúp đảm bảo tính toàn vẹn của thiết bị từ mọi khía cạnh quan trọng: phần cứng, phần mềm và tính toàn vẹn vật lý. Tính toàn vẹn phần cứng của chúng tôi đảm bảo các thiết bị không bị can thiệp (ví dụ: các thành phần giả mạo không được lắp vào trước khi vận chuyển). Tính toàn vẹn của phần mềm Dell nhằm mục đích giúp đảm bảo không có phần mềm độc hại nào được chèn vào chương trình cơ sở hoặc trình điều khiển thiết bị trước khi vận chuyển và ngăn ngừa các lỗ hổng mã hóa. An ninh vật lý ở mức cao nhất ở cả các nhà máy trực tiếp và đối tác của Dell, với các hoạt động sàng lọc và tuyển dụng mạnh mẽ, đào tạo tuân thủ hàng năm và chứng nhận để đảm bảo chất lượng và an ninh liên tục.

Các quy trình chất lượng của chúng tôi kéo dài trong suốt vòng đời của sản phẩm, với các quy trình kết hợp bảo mật trong cấp phép, quyền và cập nhật mọi thứ, từ phần mềm và chương trình cơ sở đến quản lý bản vá. Nó bao gồm thời hạn sử dụng cuối của thiết bị, do Dell quản lý bằng cách sử dụng các chính sách nghỉ hưu có trách nhiệm, để dữ liệu của bạn được bảo vệ khi máy tính cá nhân được trả lại để tân trang và tái chế.

Vì vậy, những con quái vật nào có thể ẩn nấp trong chuỗi cung ứng của bạn? Hãy nhớ rằng, những kẻ tấn công chỉ cần một điểm vào để gây ra thiệt hại nặng nề. Chuẩn bị cho trường hợp xấu nhất. Truy cập trang giải pháp bảo mật thiết bị đầu cuối của Dell hoặc liên hệ với Đại diện bán hàng của Dell để tìm hiểu thêm về các biện pháp bảo vệ được tích hợp trong chuỗi cung ứng của chúng tôi.