5G、邊緣計(jì)算和物聯(lián)網(wǎng)正在加快設(shè)備互連的速度，與之而來的各大硬件平臺(tái)的網(wǎng)絡(luò)安全也正在經(jīng)受嚴(yán)峻考驗(yàn)。如今，傳統(tǒng)的安全模式正在發(fā)生變化，固件已經(jīng)成為越來越常見的攻擊載體，越來越多的公司都遇到固件攻擊的問題。

根據(jù)國家漏洞數(shù)據(jù)庫報(bào)告稱，在2016年至2019年間，固件漏洞的數(shù)量增長了700%以上。Gartner公司2019年的報(bào)告顯示，截止2022年，約有70%未執(zhí)行固件升級(jí)計(jì)劃的組織將由于固件漏洞而遭到入侵。加之今年新冠危機(jī)導(dǎo)致全球大封鎖，不斷增加組織供應(yīng)鏈的中短期風(fēng)險(xiǎn)，防范固件攻擊的難度明顯增大，那么，該如何防范固件攻擊？

萊迪思半導(dǎo)體亞太區(qū)應(yīng)用工程（AE）總監(jiān)謝征帆稱，防范固件攻擊需要端到端的供應(yīng)鏈保護(hù)措施，萊迪思Sentry解決方案集合與SupplyGuard服務(wù)提供具有動(dòng)態(tài)信任的端到端供應(yīng)鏈保護(hù)，將為通信、數(shù)據(jù)中心、工業(yè)、汽車、航空航天和客戶計(jì)算等領(lǐng)域的各類應(yīng)用保駕護(hù)航。

Sentry解決方案

有別于傳統(tǒng)的FPGA公司，萊迪思推出的Sentry解決方案，不僅僅只是一個(gè)硬件產(chǎn)品，它是一系列優(yōu)質(zhì)資源的組合，包括定制化的嵌入式軟件、參考設(shè)計(jì)、IP和開發(fā)工具，可加速實(shí)現(xiàn)符合NIST平臺(tái)固件保護(hù)恢復(fù)（PFR）指南的安全系統(tǒng)，具有比較高的安全性和靈活度，適用于不同的應(yīng)用場(chǎng)景。

與傳統(tǒng)固件相比，Sentry解決方案集合了以下幾大特性：

硬件安全功能Sentry解決方案集合提供經(jīng)過預(yù)驗(yàn)證、符合NIST的PFR實(shí)現(xiàn)方案，可在系統(tǒng)啟動(dòng)期間和之后所有系統(tǒng)固件實(shí)施嚴(yán)格的實(shí)時(shí)訪問控制。若檢測(cè)到損壞的固件，Sentry可以自動(dòng)回滾到固件之前已知的完好版本，確保安全的系統(tǒng)操作不會(huì)中斷。

符合最新的NIST SP-800-193標(biāo)準(zhǔn)，通過CAVP認(rèn)證Sentry集合了嚴(yán)格加密的萊迪思MachXO3D FPGA系列器件。

易于使用開發(fā)人員可在沒有任何FPGA設(shè)計(jì)經(jīng)驗(yàn)的情況下，將Sentry經(jīng)過驗(yàn)證的IP模塊拖放到Lattice Propel設(shè)計(jì)環(huán)境中，進(jìn)行代碼修改。

縮短上市時(shí)間Sentry集合了提供預(yù)驗(yàn)證和經(jīng)過測(cè)試的應(yīng)用演示、參考設(shè)計(jì)和開發(fā)板，大大縮短了PFR應(yīng)用的開發(fā)時(shí)間。

靈活性高，適用于所有平臺(tái)Sentry為固件和可編程外設(shè)提供全方位、實(shí)時(shí)的PFR支持，完全符合NIST SP-800-193標(biāo)準(zhǔn)。

與TPM和MCU相比，Sentry的優(yōu)勢(shì)？

謝征帆表示，Sentry的優(yōu)勢(shì)主要體現(xiàn)在保護(hù)、檢測(cè)和恢復(fù)三方面。

在保護(hù)方面，Sentry解決方案最大的優(yōu)勢(shì)就是可以滿足客戶對(duì)實(shí)時(shí)性的要求，而基于TPM和MCU的硬件安全解決方案通常使用串行處理，無法同時(shí)對(duì)多個(gè)外設(shè)進(jìn)行監(jiān)控和訪問控制的保護(hù)，但是Sentry擁有采用并行處理解決方案的實(shí)時(shí)性能，若有一些對(duì)時(shí)間比較敏感的應(yīng)用，如果采用MCU和TPM，就沒有辦法第一時(shí)間抓到這些漏洞。

關(guān)于檢測(cè)，Sentry和MCU都能夠在啟動(dòng)之前對(duì)受保護(hù)的芯片估計(jì)那進(jìn)行自動(dòng)驗(yàn)證。TPM是一個(gè)被動(dòng)芯片，需要通過SPI接口傳送信息，無法主動(dòng)驗(yàn)證這些固件的可靠性。

在恢復(fù)方面，MCU能夠做一些標(biāo)準(zhǔn)的固件回滾進(jìn)行恢復(fù)，若遇到DOS攻擊和重復(fù)攻擊等強(qiáng)度更加大的破壞，Sentry可以做出實(shí)時(shí)保護(hù)，安全地把固件恢復(fù)到正常狀態(tài)。

因此，綜合這些特性再結(jié)合FPGA本身具有的小尺寸、高性能、低功耗、靈活性的特點(diǎn)，使得很多tier-1服務(wù)器廠商在做他們的下一代服務(wù)器平臺(tái)時(shí)，都會(huì)選擇Sentry 解決方案作為他們的首選方案實(shí)現(xiàn)PFR的功能。

SupplyGuard服務(wù)

SupplyGuard將Sentry提供的系統(tǒng)保護(hù)拓展到了當(dāng)今充滿挑戰(zhàn)、快速變化的供應(yīng)鏈中，通過交付出廠鎖定的設(shè)備，保護(hù)其免受克隆和惡意軟件植入等攻擊，同時(shí)實(shí)現(xiàn)設(shè)備所有權(quán)的安全移交。

SupplyGuard是萊迪思推出的一項(xiàng)訂閱服務(wù)，從產(chǎn)品制造到全球供應(yīng)鏈運(yùn)輸、系統(tǒng)集成和組裝、再到首次配置和部署的整個(gè)生命周期內(nèi)，通過跟蹤鎖定的萊迪思FPGA讓OEM和ODM從容應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)。

SupplyGuard為保護(hù)OEM，無論這些制造商身在何處，只有授權(quán)的制造商才能構(gòu)建OEM的設(shè)計(jì)。同時(shí)，為OEM提供安全的密鑰機(jī)制，防止在未經(jīng)授權(quán)的組件上激活其IP，阻斷產(chǎn)品克隆和過度構(gòu)建。防止設(shè)備下載和安裝木馬、惡意軟件或其他未經(jīng)授權(quán)的軟件，保護(hù)平臺(tái)和系統(tǒng)免遭劫持或其他網(wǎng)絡(luò)攻擊。

SupplyGuard支持按需定制，可以滿足萊迪思服務(wù)的各行業(yè)OEM的特定安全和供應(yīng)鏈需求。該服務(wù)大幅降低了實(shí)施安全生產(chǎn)生態(tài)系統(tǒng)的運(yùn)營成本。

萊迪思通過Sentry和SupplyGuard服務(wù)來幫助OEM安全地供應(yīng)設(shè)備，同時(shí)降低總成本，同時(shí)萊迪思通過Sentry和SupplyGuard提供全面、真正秉性、納秒級(jí)響應(yīng)的下一代安全方案，為客戶及其產(chǎn)品的使用者實(shí)現(xiàn)動(dòng)態(tài)信任機(jī)制，保障了萬物互聯(lián)時(shí)代下的供應(yīng)鏈安全。