在当今纷繁复杂的网络安全市场中,多种多样的安全产品和解决方案可能会让人眼花缭乱。但如果安全战略中最重要的部分并不是安全产品呢?
作为一家大型PC制造商,戴尔科技高度重视安全问题。近年来,随着勒索软件攻击所带来的毁灭性后果和基于固件的恶意软件蔓延,终端设备显然已成为一个越来越被觊觎的目标。遗憾的是,无论多么创新的单点解决方案,都无法确保用户和数据的彻底安全。
IT决策者在重新评估现有生态的安全性和准备更新产品时,需要将PC制造商处理安全问题的方式以及需购买何种产品纳入考量。供应商评估和产品评估同样关键,一家值得信赖、经验丰富且了解威胁形势的安全PC供应商将能够运用这些知识,帮助IT决策者在形势不断变化的过程中保护组织的IT安全。有了这样的合作伙伴,IT决策者就可以构建一个安全的生态,通过智能化手段缓解不可避免的攻击,并提高长期网络弹性。
安全问题应从源头抓起
IT决策者和最终用户通常会与销售人员、设备和产品支持人员进行交流,但这些交流只能反映出安全问题的冰山一角。如同食品安全一样,不能仅根据与餐厅服务人员的交流来判断食品安全,因为食品安全始于厨房。同样,确保设备安全的因素必须在产品生产之前就已落实到位,而这一点通常很难可见。
戴尔科技的设备安全实践
在商用设备保护方面,戴尔科技注重的是安全结果,即设备如何为组织的整体安全健康产生积极作用,比如设备如何帮助预防攻击、在受到攻击时如何保证设备安全、设备如何在整个生命周期保持安全等。
事实上,戴尔科技在开发安全商用PC方面拥有数十种符合行业标准并支持零信任安全策略的实践。今天,我们将重点介绍安全供应链、安全代码和使用中的安全这三个核心领域的几种实践。
- 确保戴尔科技商用设备供应链的安全,即严格控制软硬件供应链,也就是物理和数字供应链。这些控制措施有助于在产品制造、组装、交付以及部署过程中保持产品的完整性,确保客户分毫不差地得到他们所购买的产品。此外,戴尔科技还向所有供应商传达这些严格的要求,在流程的每一个环节以“假设违约”为前提,开展真正的零信任验证检查。
这些检查使用多种先进的技术,如安全组件验证*(SCV)用于识别组件调换、SafeBIOS 离机验证用于识别系统中权限最高的固件是否遭受任何篡改并发出警报等。戴尔科技将这些功能以及许多其他功能添加到戴尔可信工作区(Dell Trusted Workspace)产品组合中的戴尔可信设备,同时在整个供应链中运用这些功能,以确保供应链中的所有环节都完好无损,在偏差进入供应链下一个环节之前就发现它们(如要进一步了解戴尔科技如何确保供应链安全,请参见供应链白皮书)。
- 设计并开发安全戴尔科技商用设备。戴尔科技在这个环节融合实践与功能,开发出有效且创新的硬件和固件。
现在,安全功能已部署至戴尔科技商用产品中,但这只解决了一小部分问题。如果产品的设计、开发和测试不受规定的戴尔安全开发生命周期(SDL)的约束,那么产品就会变得不安全。任何一家技术提供商最核心的责任就是确保所销售的产品不会在无意中产生给用户带来风险的漏洞。为了帮助防范攻击并为安全软件堆栈提供弹性,戴尔科技在软件开发过程中执行严格的威胁建模,针对非常复杂的对手假设识别风险,甚至将此方法应用于关键的硬件。
在整个开发过程中,戴尔科技与一些最优秀的渗透测试顾问和第三方研究人员合作,联合测试并验证这些威胁模型假设,让他们尝试破解戴尔系统。戴尔科技还提出了一项公开的漏洞悬赏计划来对戴尔科技商用PC的安全性进行压力测试,最后将这些报告的结果反馈给工程部门,以便他们开发缓解方法,如此往复。这一举措的目的是为了给客户的环境提供加固和可信的设备,使客户环境有效运行。
- 力求确保戴尔科技商用设备在使用中的安全。安全需要各方的共同努力才能实现。如今,要想实现真正的安全,不仅需要硬件和固件层面的保护,还需要软件保护。因此戴尔科技不遗余力地打造一个由业界顶尖、经过全面审核的合作伙伴组成的生态,来提供针对高级威胁的保护。
当然,黑客的软件入侵方法也在不断更新。因此,戴尔科技设计安全开发生命周期(SDL)实践的目标便是扩展产品下线后的保护,比如快速、轻松识别并修复漏洞的能力。戴尔科技还在主动报告即将发布的安全更新和明确的安全支持政策,使客户更容易了解其购买的产品如何实现整个生命周期的安全性。为帮助客户快速查找有关漏洞的信息和产品版本的适用性,戴尔科技已将所有安全公告和通知进行了集中整合。
戴尔科技提供综合全面的安全保护
戴尔科技致力于建立一个可靠安全的互联世界,通过坚持不懈的努力,将客户及相关的所有数据、网络、组织与安全时刻放在首位,并将安全性精心融入至戴尔科技的所有的解决方案。