汽车、安​​全和普适计算 复杂芯片让安全更难

来源:众壹云 发布日期:2022-07-27 14:06

随着芯片变得越来越分散,半导体供应链管理变得越来越复杂,移动部件也越来越多,这使得在将它们添加到高级芯片或封装之前很难确定部件的来源以及它们是否受到损害。

过去,供应链的担忧主要集中在使用低于标准的装箱零件的假冒零件或灰色市场替代品。现在,随着 IC 架构变得更加特定于领域,通常包括某种程度的AI / ML,芯片制造商正在使用更多特定于应用的组件,例如来自更多供应商的加速器、定制存储器和 IP 块。因此,供应链变得更广泛、更多样化,零件也变得越来越难以追踪。今天的供应链涵盖从原材料(纯度对先进工艺至关重要)到软和硬 IP、子系统、包装、交付和仓储的方方面面。

未能在每个阶段跟踪所有组件会打开网络攻击的大门。在某些情况下,这可能包括休眠代码或硬件漏洞。但更多情况下,这些攻击是由设计中的无意缺陷引发的,这些缺陷会导致安全漏洞,其中一些可能多年都不会被发现。跟踪每个组件以及将这些组件集成到更大的系统中是一项巨大的挑战。如果出现问题并且系统受到损害,导致问题的原因并不总是很清楚。

“要拥有安全的物联网供应链,必须建立对数据的信任和对设备的信任,” Arm安全设备生态系统高级总监 David Maidment 说。“然而,这有几个挑战。供应链非常复杂,有许多不同的设备和实体,数据、产品和服务必须在没有合同的情况下交换所有权。大部分供应链在没有物联网的情况下已经存在 20 多年,因此建立在没有安全考虑的传统设备上。随着我们转向高度连接的价值链,所有设备都必须以安全为核心从头开始构建。”

这需要精确的可追溯性,随着设计变得越来越复杂,这种可追溯性变得越来越难以实现。“特别是对于较大的IP公司来说,高端IP成本很高。许多公司购买按次使用的许可证。问题是 IP 提供商无法对其进行监管。它受法律约束,但他们不知道它是否被用于多个设计,” ClioSoft营销副总裁 Simon Rance 说。“大公司不想从 IP 提供商那里购买 IP 并破坏这些法律协议,这很容易发生。但是公司的设计师不知道它是否是一次性许可证。我们看到很多 IP 保存在文件服务器上。他们没有被锁定。缺少一个管理问题。”

当供应链的任何部分中断时,整个供应链都会受到影响。供应链可能很长也很复杂,供应商位于多个层级。

“供应链可能很复杂,”西门子业务OneSpin 的信任和安全产品经理 John Hallman 说。“有许多供应商为制造 IC 做出了贡献,包括设计师、掩模制造商和制造厂本身。此外,这些组件制造商使用来自世界不同地区的原材料。

即使制造商采取了安全措施,也不能保证其供应商也有同样强大的保护。黑客经常利用制造商对其供应商的信任。网络防御薄弱的供应商容易受到攻击,一旦供应商被攻破,黑客就可以访问制造商的企业系统。这通常发生在没有立即检测到的情况下,并且在有复杂民族国家支持的间谍活动的情况下,某些攻击可能永远不会被检测到。

欧盟网络安全局(ENISA)在其最近的报告中指出,66% 的网络攻击与供应商的软件代码有关。对于组织或最终用户来说,在使用第三方软件代码之前验证它以确保不存在恶意软件非常重要。

供应链本身也可能被破坏。制造商通常信任他们的供应商并使用供应商的软件代码而不检查它是否存在恶意软件。制造商可以直接访问其分销商是很常见的,因为这允许他们获得有关各种芯片、IP 和电子系统可用性的数据。但最近,随着企业资源规划 (ERP) 软件的普及,制造商从分销商处下载软件模块。然后制造商将该模块与他们自己的 ERP 系统集成。除非软件模块经过恶意软件检测过程,否则恶意软件可以在不被察觉的情况下进入 ERP 系统。一些网络攻击的受害者甚至不知道他们的系统是如何以及何时被感染的。

供应链攻击的生命周期可分为两种高级持续性威胁 (APT) 攻击。第一个针对一个或多个供应商

图 1:供应链攻击的生命周期可分为两种高级持续性威胁 (APT) 攻击。第一个针对一个或多个供应商。一旦恶意软件通过后门进入,第二次攻击将针对客户的资产。这种类型的网络攻击更难以检测,因为客户已经信任供应商。资料来源:ENISA

勒索软件尤其有害,因为它具有短期和长期影响。根据IBM 的一份报告,一次勒索软件攻击的平均成本为 462 万美元。受到攻击后,企业必须做出反应并进行清理。成本包括升级、通知、业务损失和响应工作,不包括赎金成本本身。平均而言,识别和修复数据泄露需要 287 天。解决问题所需的时间越长,成本就越高。

ENISA 预测,供应链网络攻击的数量将比去年翻两番,攻击形式多种多样。供应链可以通过各种方式受到攻击——恶意软件感染、社会工程、暴力攻击、利用软件和配置漏洞、物理攻击或修改、开源情报和伪造。

其中任何一个的影响都可能是巨大的。最近对供应链的高调网络攻击包括 Colonial Oil 管道(燃料供应中断,导致排长队和高价)、Kaseya VSA 远程监控(全球 1,500 家下游企业受影响)、SolarWinds(全球 18,000 家公司受到影响,包括许多政府机构和财富 500 强公司)和乌克兰电网(225,000 名客户断电)。

SolarWinds 攻击发生在 2020 年。尽管补丁已经可用,但并非每个受影响的公司都具备实施解决方案的知识或意识。这些漏洞将被黑客一次又一次地利用。今年又发生了 140 起网络攻击,导致 14 起敏感信息被盗。

供应链上的网络攻击继续增加。在供应链中,每个设备端点都是网络攻击目标。没有什么是不受攻击的,随着设备在市场上停留的时间更长,问题会变得更糟。这使得可持续、灵活、长期的防御战略变得更加重要。这三个关键要素包括在整个供应链中建立信任、创建端到端的可见性,以及最后进行持续改进。

VDC Research 工业、自动化和传感器高级分析师 Jared Weiner 表示:“每个连接的端点都是坏人的潜在入口点,因此每个连接的端点都必须受到保护。” “一种整体的、分层的网络安全方法至关重要。尽管个别设备的具体要求各不相同,但管理供应链的组织应考虑在考虑安全性的情况下对硬件设备和软件(即具有嵌入式安全硬件或软件的那些)进行身份验证,并通过资产管理、端点保护、和网络可见性解决方案。”

信任对供应链安全

至关重要 在任何应用程序中建立信任总是很重要的。但对于供应链而言,信任更为重要,因为涉及的各方如此之多。一级和二级供应商可能多年来一直与 OEM 开展业务,但这并不意味着他们在供应链管理方面值得信赖。今天,这些供应商或其分包商中的任何一个都可能在不知情的情况下将恶意软件代码嵌入到他们的系统中。

“远程监控和连接本身已成为供应链的重要组成部分,”Arm 的 Maidement 说。“监控运输中货物的位置和状况的能力至关重要,并且该监控的任何服务中断都会产生巨大的成本影响。公司完全依赖于高质量、可靠的洞察力,因此需要可信赖的设备来大规模提供这种监控。任何不安全的设备,例如设计不佳或遗留的设备,都会为对手敞开大门。”

“零信任”的实践在这里尤为重要。组织外部的任何设备或软件都不可信。

Flex Logix的 IP 销售和营销副总裁 Andy Jaros 表示:“在系统开发过程中,在芯片的整个开发周期、产品制造和系统开发过程中,恶意代码可以通过后门引入的很多点。” “这就是为什么美国政府对系统开发采取零信任理念的原因。零信任包括监控系统活动的异常行为方法、电路混淆以降低侧信道攻击风险,以及控制芯片或电路功能。”

端到端供应链的可见

性 整个供应链和端点保护的可见性要求从任何供应商到制造商的信息流都得到明确识别和信任。以这种方式保护供应链网络有助于防止未知恶意软件通过后门攻击进行污染。

“最终产品制造商或系统集成商继承了整个供应链和监督整个过程的责任,”OneSpin 的 Hallman 说。“他们是否拥有端到端的视图和手头的信息流来知道一切来自哪里?这包括 RoHS 的管理和假冒零件的检测。了解已转移的内容很重要。”

鉴于供应链的不断变化,包括可能使以前的安全性过时的新技术,以及可能需要供应商使用多个来源的芯片短缺,在供应链中增加一定程度的灵活性也是一个好主意。实际上,供应链需要跟上流经它的技术的步伐。

“嵌入式 FPGA IP 可用于通过 CPU 启动映像验证、系统活动监控、随机交换具有相同功能的不同比特流或在系统制造或部署后对关键或高度专有的电路进行编程来解决这些漏洞,”Flex Logix 的 Jaros 说。

更困难的是,这些漏洞可能会通过各种更新以及与特定设计中使用的供应链中其他组件的交互而出现。

“在嵌入式领域,理论上任何处理器都可能存在某种安全漏洞,” Cadence业务发展总监 George Wall 说。“它执行代码,访问资源,因此从技术上讲,它可以被视为目标。即使在处理器被用作大型应用处理器背后的深度嵌入式卸载引擎的情况下,它周围有一个安全岛,黑客仍然有办法进入那里。他们可能会下载未经授权的代码并导致卸载引擎行为异常。我们意识到这一点,并一直在投资添加一些安全功能。”

随着设备在市场上停留的时间更长,这变得尤为重要,例如工业、汽车、医疗和军用/航空应用。

Steve Pateras 说:“我们正在从芯片的角度研究安全性,确保硅片的安全,我们正在制定 DARPA 合同,涉及安全硅片的集成,从设计角度和访问角度,” Synopsys营销和业务发展高级总监。“您希望确保以安全的方式向生产商、集成商和用户发送数据。要访问设计、芯片或小芯片,您需要一个安全的生态系统。供应链仍在研究中。如果你想交换数据,就必须有一种安全的方式。”

持续改进

美国国家标准与技术研究院 (NIST) 指出,当软件供应链受到攻击时,网络威胁参与者会渗透到供应商的网络中。恶意代码随后将发送给客户,并进一步破坏客户的数据,就像对 SolarWinds 的攻击一样。该机构提出了一种称为网络供应链风险管理 (C-SCRM) 的解决方案,这是一个识别、评估和减轻与 IT/OT 产品和服务的分发和互连相关的风险的过程。

在其最近的报告中,NIST 提出了八项关键实践,以通过持续改进实现高质量的供应链管理:

1. 在整个组织中集成 C-SCRM。

2.建立正式的C-SCRM程序。

3. 了解和管理关键供应商。

4. 了解组织的供应链。

5. 与主要供应商密切合作。

6. 将关键供应商纳入复原力和改进活动。

7. 评估和监控整个供应商关系。

8. 计划整个生命周期。

“安全的供应链需要持续的验证和认证,”Hallman 说。“在 SolarWinds 漏洞的情况下,攻击者使用软件更新来启用'后门'。为了最大限度地降低网络攻击风险,至少,必须实践基本的安全卫生,包括严格的验证,应用安全最佳实践,例如“交易是否具有正确的校验和?或者是否使用了回归测试?有可用的数字孪生等工具。你会惊讶于有多少组织没有实践基础知识。”

还有其他可用的供应链标准和资源。它们包括区块链、SEMI E142、IPC、GS1、AS 6171 和 Trusted Computing Group 平台。

结论 

供应链上的网络攻击正在上升。正如 Arm 的 Maidment 指出的那样,“为了保护您的业务,评估和管理来自黑客的风险非常重要。首先,建立从数据和设备向外到云的信任链,以每个设备的硬件信任根为基础。这可确保您的数据处于可信赖的手中,并有助于提供有价值的业务洞察力。其次,积极采购经过认证的安全设备来保护您的网络。即使拥有最安全的网络,不安全的设备也会在您的系统中留下漏洞供黑客利用。由知名认证机构(例如 PSA Certified)认证的设备可为您提供额外的保证。最后,在设计产品时要积极主动地确保安全。出现问题时仅仅做出反应是不够的。反而,使用具有经过认证的硬件信任根的组件,从设计之初就构建安全性。您还可以采购经过预先验证的组件(例如硅芯片或系统软件),以确保您在可信赖的基础上构建设备。”