圖片說明: 萊迪思半導體亞太區應用工程總監謝征帆
傳統的安全模式正在發生變化,韌體已經成為越來越常見的攻擊重點。Gartner報告指出,截至2022年約有70%為執行韌體升級計畫的組織將因韌體漏洞而遭到入侵;另外國家漏洞資料庫報告指出,在2016年至2019年間,韌體漏洞的數量增長了700%以上。
而5G、網路邊緣運算和物聯網正在加速設備連接的速度,讓更多設備更快接入網路,意味著有更多的設備的韌體存在被攻擊的可能,這讓很多高科技OEM廠商時常處於緊張狀態,每一次對韌體的修改和操作,都可能會存在被人利用的機會。
不僅是OEM廠商感到緊張,韌體攻擊同樣是所有終端市場所面臨日益嚴重的安全問題、現有的基於TPM和MCU的「靜態」安全解決方案不足以提供全面的動態保護和恢復以及針對供應鏈的的攻擊日益增多,一些新型的攻擊手段令人防不勝防。
為此,萊迪思半導體公司(Lattice Semiconductor)宣佈推出Lattice Sentry™解決方案集合和Lattice SupplyGuard™供應鏈防護服務,解決廠商為平臺韌體保護恢復(PFR)及供應鏈防護的煩惱。
萊迪思半導體亞太區應用工程總監謝征帆介紹:Sentry是一系列資源的強大組合,包括可客製化的嵌入式軟體、參考設計、IP和開發工具,可加速實現符合NIST平臺韌體保護恢復標準的安全系統。通過交付出廠鎖定的設備,保護其免受複製和惡意軟體植入等攻擊,萊迪思SupplyGuard服務將Sentry集合提供的系統保護拓展到了當今充滿挑戰、快速變化的整個供應鏈中,同時實現設備所有權的安全轉移。
Lattice Sentry相比TPM及MCU有著巨大的優勢。在防護方面,Sentry以奈秒級的反應時間同時監視所有受保護的外部記憶體及其介面匯流,且對所有韌體實施嚴格的存取控制。Sentry不但啟動前能自動驗證受保護IC的韌體,即使受到服務阻斷攻擊和重送攻擊,也能安全可靠地將所有損壞的韌體還原到正常狀態,通過標準的、經過驗證的韌體回滾進行恢復。
此外,為瞭解決動態信任,實現端對端供應鏈防護的平臺,萊迪思也推出SupplyGuard供應鏈防護服務,可以抵禦供應鏈中各個環節的攻擊。謝征帆表示,SupplyGuard是萊迪思推出的一項訂閱服務,從產品製造到全球供應鏈運輸、系統整合和組裝、再到首次配置和部署的整個生命週期內,透過追蹤鎖定的萊迪思FPGA讓OEM和ODM廠商從容應對供應鏈風險。