5G、边缘计算和物联网正在加快设备互连的速度,与之而来的各大硬件平台的网络安全也正在经受严峻考验。如今,传统的安全模式正在发生变化,固件已经成为越来越常见的攻击载体,越来越多的公司都遇到固件攻击的问题。
根据国家漏洞数据库报告称,在2016年至2019年间,固件漏洞的数量增长了700%以上。Gartner公司2019年的报告显示,截止2022年,约有70%未执行固件升级计划的组织将由于固件漏洞而遭到入侵。加之今年新冠危机导致全球大封锁,不断增加组织供应链的中短期风险,防范固件攻击的难度明显增大,那么,该如何防范固件攻击?
莱迪思半导体亚太区应用工程(AE)总监谢征帆称,防范固件攻击需要端到端的供应链保护措施,莱迪思Sentry解决方案集合与SupplyGuard服务提供具有动态信任的端到端供应链保护,将为通信、数据中心、工业、汽车、航空航天和客户计算等领域的各类应用保驾护航。
Sentry解决方案
有别于传统的FPGA公司,莱迪思推出的Sentry解决方案,不仅仅只是一个硬件产品,它是一系列优质资源的组合,包括定制化的嵌入式软件、参考设计、IP和开发工具,可加速实现符合NIST平台固件保护恢复(PFR)指南的安全系统,具有比较高的安全性和灵活度,适用于不同的应用场景。
与传统固件相比,Sentry解决方案集合了以下几大特性:
硬件安全功能Sentry解决方案集合提供经过预验证、符合NIST的PFR实现方案,可在系统启动期间和之后所有系统固件实施严格的实时访问控制。若检测到损坏的固件,Sentry可以自动回滚到固件之前已知的完好版本,确保安全的系统操作不会中断。
符合最新的NIST SP-800-193标准,通过CAVP认证Sentry集合了严格加密的莱迪思MachXO3D FPGA系列器件。
易于使用开发人员可在没有任何FPGA设计经验的情况下,将Sentry经过验证的IP模块拖放到Lattice Propel设计环境中,进行代码修改。
缩短上市时间Sentry集合了提供预验证和经过测试的应用演示、参考设计和开发板,大大缩短了PFR应用的开发时间。
灵活性高,适用于所有平台Sentry为固件和可编程外设提供全方位、实时的PFR支持,完全符合NIST SP-800-193标准。
与TPM和MCU相比,Sentry的优势?
谢征帆表示,Sentry的优势主要体现在保护、检测和恢复三方面。
在保护方面,Sentry解决方案最大的优势就是可以满足客户对实时性的要求,而基于TPM和MCU的硬件安全解决方案通常使用串行处理,无法同时对多个外设进行监控和访问控制的保护,但是Sentry拥有采用并行处理解决方案的实时性能,若有一些对时间比较敏感的应用,如果采用MCU和TPM,就没有办法第一时间抓到这些漏洞。
关于检测,Sentry和MCU都能够在启动之前对受保护的芯片估计那进行自动验证。TPM是一个被动芯片,需要通过SPI接口传送信息,无法主动验证这些固件的可靠性。
在恢复方面,MCU能够做一些标准的固件回滚进行恢复,若遇到DOS攻击和重复攻击等强度更加大的破坏,Sentry可以做出实时保护,安全地把固件恢复到正常状态。
因此,综合这些特性再结合FPGA本身具有的小尺寸、高性能、低功耗、灵活性的特点,使得很多tier-1服务器厂商在做他们的下一代服务器平台时,都会选择Sentry 解决方案作为他们的首选方案实现PFR的功能。
SupplyGuard服务
SupplyGuard将Sentry提供的系统保护拓展到了当今充满挑战、快速变化的供应链中,通过交付出厂锁定的设备,保护其免受克隆和恶意软件植入等攻击,同时实现设备所有权的安全移交。
SupplyGuard是莱迪思推出的一项订阅服务,从产品制造到全球供应链运输、系统集成和组装、再到首次配置和部署的整个生命周期内,通过跟踪锁定的莱迪思FPGA让OEM和ODM从容应对供应链风险。
SupplyGuard为保护OEM,无论这些制造商身在何处,只有授权的制造商才能构建OEM的设计。同时,为OEM提供安全的密钥机制,防止在未经授权的组件上激活其IP,阻断产品克隆和过度构建。防止设备下载和安装木马、恶意软件或其他未经授权的软件,保护平台和系统免遭劫持或其他网络攻击。
SupplyGuard支持按需定制,可以满足莱迪思服务的各行业OEM的特定安全和供应链需求。该服务大幅降低了实施安全生产生态系统的运营成本。
莱迪思通过Sentry和SupplyGuard服务来帮助OEM安全地供应设备,同时降低总成本,同时莱迪思通过Sentry和SupplyGuard提供全面、真正秉性、纳秒级响应的下一代安全方案,为客户及其产品的使用者实现动态信任机制,保障了万物互联时代下的供应链安全。