5G、邊緣計算和物聯(lián)網(wǎng)正在加快設(shè)備互連的速度，與之而來的各大硬件平臺的網(wǎng)絡(luò)安全也正在經(jīng)受嚴峻考驗。如今，傳統(tǒng)的安全模式正在發(fā)生變化，固件已經(jīng)成為越來越常見的攻擊載體，越來越多的公司都遇到固件攻擊的問題。

根據(jù)國家漏洞數(shù)據(jù)庫報告稱，在2016年至2019年間，固件漏洞的數(shù)量增長了700%以上。Gartner公司2019年的報告顯示，截止2022年，約有70%未執(zhí)行固件升級計劃的組織將由于固件漏洞而遭到入侵。加之今年新冠危機導致全球大封鎖，不斷增加組織供應(yīng)鏈的中短期風險，防范固件攻擊的難度明顯增大，那么，該如何防范固件攻擊？

萊迪思半導體亞太區(qū)應(yīng)用工程（AE）總監(jiān)謝征帆稱，防范固件攻擊需要端到端的供應(yīng)鏈保護措施，萊迪思Sentry解決方案集合與SupplyGuard服務(wù)提供具有動態(tài)信任的端到端供應(yīng)鏈保護，將為通信、數(shù)據(jù)中心、工業(yè)、汽車、航空航天和客戶計算等領(lǐng)域的各類應(yīng)用保駕護航。

Sentry解決方案

有別于傳統(tǒng)的FPGA公司，萊迪思推出的Sentry解決方案，不僅僅只是一個硬件產(chǎn)品，它是一系列優(yōu)質(zhì)資源的組合，包括定制化的嵌入式軟件、參考設(shè)計、IP和開發(fā)工具，可加速實現(xiàn)符合NIST平臺固件保護恢復（PFR）指南的安全系統(tǒng)，具有比較高的安全性和靈活度，適用于不同的應(yīng)用場景。

與傳統(tǒng)固件相比，Sentry解決方案集合了以下幾大特性：

硬件安全功能Sentry解決方案集合提供經(jīng)過預驗證、符合NIST的PFR實現(xiàn)方案，可在系統(tǒng)啟動期間和之后所有系統(tǒng)固件實施嚴格的實時訪問控制。若檢測到損壞的固件，Sentry可以自動回滾到固件之前已知的完好版本，確保安全的系統(tǒng)操作不會中斷。

符合最新的NIST SP-800-193標準，通過CAVP認證Sentry集合了嚴格加密的萊迪思MachXO3D FPGA系列器件。

易于使用開發(fā)人員可在沒有任何FPGA設(shè)計經(jīng)驗的情況下，將Sentry經(jīng)過驗證的IP模塊拖放到Lattice Propel設(shè)計環(huán)境中，進行代碼修改。

縮短上市時間Sentry集合了提供預驗證和經(jīng)過測試的應(yīng)用演示、參考設(shè)計和開發(fā)板，大大縮短了PFR應(yīng)用的開發(fā)時間。

靈活性高，適用于所有平臺Sentry為固件和可編程外設(shè)提供全方位、實時的PFR支持，完全符合NIST SP-800-193標準。

與TPM和MCU相比，Sentry的優(yōu)勢？

謝征帆表示，Sentry的優(yōu)勢主要體現(xiàn)在保護、檢測和恢復三方面。

在保護方面，Sentry解決方案最大的優(yōu)勢就是可以滿足客戶對實時性的要求，而基于TPM和MCU的硬件安全解決方案通常使用串行處理，無法同時對多個外設(shè)進行監(jiān)控和訪問控制的保護，但是Sentry擁有采用并行處理解決方案的實時性能，若有一些對時間比較敏感的應(yīng)用，如果采用MCU和TPM，就沒有辦法第一時間抓到這些漏洞。

關(guān)于檢測，Sentry和MCU都能夠在啟動之前對受保護的芯片估計那進行自動驗證。TPM是一個被動芯片，需要通過SPI接口傳送信息，無法主動驗證這些固件的可靠性。

在恢復方面，MCU能夠做一些標準的固件回滾進行恢復，若遇到DOS攻擊和重復攻擊等強度更加大的破壞，Sentry可以做出實時保護，安全地把固件恢復到正常狀態(tài)。

因此，綜合這些特性再結(jié)合FPGA本身具有的小尺寸、高性能、低功耗、靈活性的特點，使得很多tier-1服務(wù)器廠商在做他們的下一代服務(wù)器平臺時，都會選擇Sentry 解決方案作為他們的首選方案實現(xiàn)PFR的功能。

SupplyGuard服務(wù)

SupplyGuard將Sentry提供的系統(tǒng)保護拓展到了當今充滿挑戰(zhàn)、快速變化的供應(yīng)鏈中，通過交付出廠鎖定的設(shè)備，保護其免受克隆和惡意軟件植入等攻擊，同時實現(xiàn)設(shè)備所有權(quán)的安全移交。

SupplyGuard是萊迪思推出的一項訂閱服務(wù)，從產(chǎn)品制造到全球供應(yīng)鏈運輸、系統(tǒng)集成和組裝、再到首次配置和部署的整個生命周期內(nèi)，通過跟蹤鎖定的萊迪思FPGA讓OEM和ODM從容應(yīng)對供應(yīng)鏈風險。

SupplyGuard為保護OEM，無論這些制造商身在何處，只有授權(quán)的制造商才能構(gòu)建OEM的設(shè)計。同時，為OEM提供安全的密鑰機制，防止在未經(jīng)授權(quán)的組件上激活其IP，阻斷產(chǎn)品克隆和過度構(gòu)建。防止設(shè)備下載和安裝木馬、惡意軟件或其他未經(jīng)授權(quán)的軟件，保護平臺和系統(tǒng)免遭劫持或其他網(wǎng)絡(luò)攻擊。

SupplyGuard支持按需定制，可以滿足萊迪思服務(wù)的各行業(yè)OEM的特定安全和供應(yīng)鏈需求。該服務(wù)大幅降低了實施安全生產(chǎn)生態(tài)系統(tǒng)的運營成本。

萊迪思通過Sentry和SupplyGuard服務(wù)來幫助OEM安全地供應(yīng)設(shè)備，同時降低總成本，同時萊迪思通過Sentry和SupplyGuard提供全面、真正秉性、納秒級響應(yīng)的下一代安全方案，為客戶及其產(chǎn)品的使用者實現(xiàn)動態(tài)信任機制，保障了萬物互聯(lián)時代下的供應(yīng)鏈安全。