固件安全需要端到端供应链保护

2020-12-31 15:26
网络安全和信息化 2020年9期
关键词:固件漏洞信任

万物互联时代,联网设备所带来的安全风险已成为令人担忧的问题,首当其冲的是固件安全风险。

Gartner 在2019年7月的数据显示,截至2022年,约有70%未执行固件升级计划的组织由于固件漏洞而遭到入侵。

莱迪思半导体亚太区应用工程(AE)总监谢征帆表示,造成这一问题的原因,一方面在于传统的安全保护往往在上层软件或OS 层,而固件层并未受到人们足够的重视;另一方面,随着在线设备数量的增加,暴露出来的漏洞数量也会增长。

防范固件攻击不仅仅是修复漏洞,更需要端到端的供应链保护措施。对此,莱迪思Sentry 解决方案集合与SupplyGuard服务提供了具有动态信任的端到端供应链保护。谢征帆表示,Sentry 解决方案集合与SupplyGuard服务解决的痛点就是固件攻击和SupplyGuard 攻击。

目前固件保护普遍依据美国的NIST SP-800-193 标准,该标准对固件保护提出检测、保护和恢复三方面规范性要求。大部分固件保护,包括莱迪思Sentry 解决方案集合的开发都是基于这个标准。

Sentry 解决方案集合并不仅仅是一个硬件产品,而是一系列相配套的工具、软件和服务。Sentry 为固件和可编程外设提供经过预验证的平台固件恢复(PFR)实现方案,可在启动前自动验证受保护IC的固件,并在系统启动期间和之后对系统固件实施严格的实时访问控制,在受攻击后能安全可靠地将损坏的固件还原到正常状态,进而满足NIST 标准对固件防护在检测、保护与恢复的要求。

SupplyGuard 供应链保护服务是面向完整的设备安全生命周期管理,即端到端的供应链动态信任。“端到端”意味着要对从芯片原厂生产,经OEM 厂商到CM 生产,再到客户交付,最后到产品报废这一整个流程提供供应链保护和持久的信任。

SupplyGuard 从产品制造到全球供应链运输、系统集成和组装,再到首次配置和部署的整个生命周期内,通过跟踪锁定的莱迪思FPGA 让OEM和ODM 从容应对供应链风险。这其中需要确保只有授权的制造商才能构建OEM的设计,并为OEM 提供安全的密钥机制,同时防止设备下载和安装其他未经授权的软件。

SupplyGuard 可按需定制,大幅降低了实施安全生产生态系统的运营成本。谢征帆表示:“客户需要一个经济高效的方式,这也是Supply Guard 能给客户带来的最大优势。”

只有面向端到端的供应链防护才能消除无孔不入的威胁。莱迪思将通过Sentry和SupplyGuard 安全方案,为客户实现动态信任机制。

猜你喜欢
固件漏洞信任
漏洞
尼康旗舰Z9升级新固件延长高速连拍时间
基于国产化IT 基础设施的通用固件安全模型研究
基于selenium的SQL注入漏洞检测方法
嘤嘤嘤,人与人的信任在哪里……
漏洞在哪儿
英特尔发布免费固件引擎
提取ROM固件中的APP
信任