全球芯片漏洞频出,硬件BOM助力数据安全

发布时间:2022-08-05  

如果你是严重过敏体质,就不能随便吃任何食物。在进食前,你首先得清楚食物的成分,不知道成分的食物不应该被你进食。

无论是个人消费者,还是企业消费者,他们对电子产品的态度基本一致——他们在购买汽车、医疗设备、关键基础设施等电子产品时,很少有人/组织清楚所购买产品的组成部分,更不用说知晓这些产品是否存在安全风险。

我们经常会忘记所有软件都是在硬件上运行的,Marc Andreessen是最早意识到“软件正在吞噬世界”的人之一。硬件复杂性的增长速度与软件代码规模的增长速度相似。如今,半导体制造商开发出非常多的定制芯片,很多这类芯片内置了硬件安全支持功能,从而也带来了更多的安全风险。

归根结底,产品的安全性取决于它最薄弱的组件,如果不了解产品基本功能之外的成分细节,组织就无法承担集成技术的成本。虽然这些成分可能无害,但它们也可能为攻击者打开“大门”。我们需要像关心食物一样关注电子产品,要了解它由什么组成以及它的成分有多安全。

硬件芯片漏洞也能被远程利用

对于食物,消费者已经养成了阅读配料表或询问食物成分的习惯。这当然不是一个完美的世界,但配料表的透明度引导消费者选择适合自己的产品,问责制则推动更好的质量体系。

同样地,在制造业中,“物料清单(BOM)”是一个众所周知的概念,它提供了构建产品所需的原材料、组件和零部件的清单和数量信息。在软件方面,以“软件物料清单(SBOM)”的形式对该清单进行了安全细节补充(SBOM是指包含构建软件中使用的各种组件的详细信息和供应链关系的正式记录)。

有时候,90%-95%的软件应用程序是由用户从未意识到的开源组件构建的。SBOM不仅会告诉您软件应用程序中有哪些组件,还会告诉您这些组件是否是最新版本,以及其中是否存在已知的安全漏洞,这可能使整个应用程序容易受到网络攻击。

去年,美国联邦政府出台《关于改善国家网络安全的行政命令》后,SBOM获得了更多的支持。它要求所有软件供应商向联邦政府提供SBOM信息,以便政府机构清楚他们所使用软件的各种组件详细信息和供应链关系。一旦出现新的安全问题,例如远程攻击的漏洞,政府机构可以通过SBOM快速做出反应。

与软件不同的是,自2017年发现“幽灵(Spectre) ”和“熔毁(Meltdown) ”漏洞后,直到最近硬件安全问题才得到更多关注。在此之前,人们普遍认为,如果没有物理访问权限,黑客是无法攻击芯片的。现在我们知道,硬件的安全设计缺陷,有时也能被远程利用。

例如,远程执行的非特权软件应用程序,可以利用特定的硬件漏洞,来提取机密或劫持系统的控制权。此外,这类攻击可以自动进行,并可能针对包括易受攻击的硬件在内的所有产品,使攻击更具可扩展性和影响力。更糟糕的是,芯片一旦被部署,就不可能或很难修复硬件漏洞。

可远程利用的硬件漏洞最近才受到更多关注,它并没有像软件漏洞那样受到重视。随着越来越多公司意识到风险,我们仍在很大程度上处于学习阶段。

硬件材料清单(HBOM)提供了关于硬件组件安全的详细信息,包括其安全性验证,可以补充SBOM,揭示任何电子产品的安全性状况。SBOM和HBOM的结合,可以提供产品的整体视图,允许组织在其生命周期内跟踪成分,并在硬件或软件中发现漏洞时支持更快的行动。

硬件BOM需要显示的安全信息

HBOM的基础是相当于采用SBOM的方法,来记录和跟踪硬件安全漏洞,例如最近发现的苹果M1芯片中的Augury漏洞。了解哪些硅版本易受攻击,了解哪些产品使用受影响的芯片,可以更好地指导如何评估业务风险,以及了解哪些产品需要安全更新。

然而,我们应该进一步研究HBOM的内容,并包括演示在规划、开发和验证硬件组件期间如何考虑安全性的构件。披露的信息越多,HBOM在判断产品安全性和发现漏洞时的驱动行为方面就越有价值。示例包括:

  • 安全特性和验证要求记录了产品规划阶段的安全意图;
  • 设计中考虑的威胁模型,包括潜在攻击向量和假想攻击者的能力;
  • 集成的安全设计组件和保护机制,以应对潜在的攻击;
  • 第三方和内部开发的IP块及其安全态势;
  • 应用安全验证方法并详细记录结果;
  • 应用标准编制,如通用弱点列举(CWE™)或ISO标准,如ISO/SAE 21434(道路车辆网络安全工程)、ISO/IEC 19790(密码模块的安全要求)或ISO/IEC 15408(通用标准);
  • 任何应用的安全认证及其文档。

当然,HBOM可能不是一个绝佳的妙计。但它们可以建立一种透明度,允许在产品设计、支持和维护期间做出明智的决策,并对任何安全事件作出响应。结合采用新兴的产品安全标准,HBOM可以帮助我们实现更高级别的可见性、保障和安全性。

本文翻译自国际电子商情姊妹刊EE times us,原文标题:

文章来源于:国际电子商情    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    准备好将长期处在实体清单之下维持运营的准备。 芯片困局未解 而自台积电等关键供应商停止供货后,华为最受关注的焦点莫过于芯片库存还能用多久。徐直军指出面对消费者芯片部份仍然没有解决方案,至于在面对企业芯片部份则暂时够用,但也不是高枕无忧。 他称在芯片......
    变局之下,是谁还持续扎进芯片大圈?;芯片已逐渐渗透于各行各业,手机、家电、汽车等也不例外。近年来,面临全球芯片困局,vivo、OPPO、吉利等很多企业纷纷扬言要自研芯片,今年,全球芯片......
    苹果芯片困境为高通赢得更多时间 后者仍处于领先地位;9月12日消息,如今,金钱和时间可以买到很多东西。但对于来说,这可能不包括内部调制解调器。本文引用地址: 标普全球市场财智(S&P......
    韩媒称三星电子代工业务遭遇困局:先进制程难获订单,成熟制程水平落后;9 月 25 日消息,韩媒 ZDNET Korea 在当地时间昨日的报道中表示,三星电子的设备解决方案(DS)部 Foundry......
    芯片告急!市值2000亿美元巨头宣布停产5天!; 芯片短缺困局难解,汽车巨头被迫停工减产 据日媒报道称,此次停产丰田高冈工厂5天,是丰田今年第二次因半导体短缺而关停其国内工厂。就在6月,丰田......
    宁德时代,多少胜算?;导语 既享“盛世”,当入“困局”。 近日,胡润研究院首次发布了《2023胡润中国能源民营企业TOP100》榜单。宁德时代以1万亿元的市值,直接......
    2023Venture50揭晓,亿铸科技荣登新芽榜;今日,由清科创业(1945.HK)、投资界发起的2023Venture50评选结果正式发布,存算一体AI大算力芯片的创领者亿铸科技从参选的4000......
    2023Venture50揭晓,亿铸科技荣登新芽榜;2024年1月16日 – 今日,由清科创业(1945.HK)、投资界发起的2023Venture50评选结果正式发布,存算一体AI大算力芯片......
    2023Venture50揭晓,亿铸科技荣登新芽榜;2024年1月16日 – 今日,由清科创业(1945.HK)、投资界发起的评选结果正式发布,存算一体AI大算力芯片的创领者科技从参选的4000多家......
    料、新能源、智能网联等等。 汽车是芯片的重要应用场景之一,近年来随着汽车智能化电动化的发展,芯片更显其重要性。对此,国家陆续出台了多项产业政策,如《汽车半导体供需对接手册》《智能......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>