广告

全球芯片漏洞频出,硬件BOM助力数据安全

产品的安全性取决于它最薄弱的组件,如果不了解产品基本功能之外的成分细节,组织就无法承担集成技术的成本。虽然这些成分可能无害,但它们也可能为攻击者打开“大门”。

如果你是严重过敏体质,就不能随便吃任何食物。在进食前,你首先得清楚食物的成分,不知道成分的食物不应该被你进食。Hppesmc

无论是个人消费者,还是企业消费者,他们对电子产品的态度基本一致——他们在购买汽车、医疗设备、关键基础设施等电子产品时,很少有人/组织清楚所购买产品的组成部分,更不用说知晓这些产品是否存在安全风险。Hppesmc

我们经常会忘记所有软件都是在硬件上运行的,Marc Andreessen是最早意识到“软件正在吞噬世界”的人之一。硬件复杂性的增长速度与软件代码规模的增长速度相似。如今,半导体制造商开发出非常多的定制芯片,很多这类芯片内置了硬件安全支持功能,从而也带来了更多的安全风险。Hppesmc

归根结底,产品的安全性取决于它最薄弱的组件,如果不了解产品基本功能之外的成分细节,组织就无法承担集成技术的成本。虽然这些成分可能无害,但它们也可能为攻击者打开“大门”。我们需要像关心食物一样关注电子产品,要了解它由什么组成以及它的成分有多安全。Hppesmc

硬件芯片漏洞也能被远程利用

对于食物,消费者已经养成了阅读配料表或询问食物成分的习惯。这当然不是一个完美的世界,但配料表的透明度引导消费者选择适合自己的产品,问责制则推动更好的质量体系。Hppesmc

同样地,在制造业中,“物料清单(BOM)”是一个众所周知的概念,它提供了构建产品所需的原材料、组件和零部件的清单和数量信息。在软件方面,以“软件物料清单(SBOM)”的形式对该清单进行了安全细节补充(SBOM是指包含构建软件中使用的各种组件的详细信息和供应链关系的正式记录)。Hppesmc

有时候,90%-95%的软件应用程序是由用户从未意识到的开源组件构建的。SBOM不仅会告诉您软件应用程序中有哪些组件,还会告诉您这些组件是否是最新版本,以及其中是否存在已知的安全漏洞,这可能使整个应用程序容易受到网络攻击。Hppesmc

去年,美国联邦政府出台《关于改善国家网络安全的行政命令》后,SBOM获得了更多的支持。它要求所有软件供应商向联邦政府提供SBOM信息,以便政府机构清楚他们所使用软件的各种组件详细信息和供应链关系。一旦出现新的安全问题,例如远程攻击的漏洞,政府机构可以通过SBOM快速做出反应。Hppesmc

与软件不同的是,自2017年发现“幽灵(Spectre) ”和“熔毁(Meltdown) ”漏洞后,直到最近硬件安全问题才得到更多关注。在此之前,人们普遍认为,如果没有物理访问权限,黑客是无法攻击芯片的。现在我们知道,硬件的安全设计缺陷,有时也能被远程利用。Hppesmc

例如,远程执行的非特权软件应用程序,可以利用特定的硬件漏洞,来提取机密或劫持系统的控制权。此外,这类攻击可以自动进行,并可能针对包括易受攻击的硬件在内的所有产品,使攻击更具可扩展性和影响力。更糟糕的是,芯片一旦被部署,就不可能或很难修复硬件漏洞。Hppesmc

可远程利用的硬件漏洞最近才受到更多关注,它并没有像软件漏洞那样受到重视。随着越来越多公司意识到风险,我们仍在很大程度上处于学习阶段。Hppesmc

硬件材料清单(HBOM)提供了关于硬件组件安全的详细信息,包括其安全性验证,可以补充SBOM,揭示任何电子产品的安全性状况。SBOM和HBOM的结合,可以提供产品的整体视图,允许组织在其生命周期内跟踪成分,并在硬件或软件中发现漏洞时支持更快的行动。Hppesmc

硬件BOM需要显示的安全信息

HBOM的基础是相当于采用SBOM的方法,来记录和跟踪硬件安全漏洞,例如最近发现的苹果M1芯片中的Augury漏洞。了解哪些硅版本易受攻击,了解哪些产品使用受影响的芯片,可以更好地指导如何评估业务风险,以及了解哪些产品需要安全更新。Hppesmc

然而,我们应该进一步研究HBOM的内容,并包括演示在规划、开发和验证硬件组件期间如何考虑安全性的构件。披露的信息越多,HBOM在判断产品安全性和发现漏洞时的驱动行为方面就越有价值。示例包括:Hppesmc

  • 安全特性和验证要求记录了产品规划阶段的安全意图;
  • 设计中考虑的威胁模型,包括潜在攻击向量和假想攻击者的能力;
  • 集成的安全设计组件和保护机制,以应对潜在的攻击;
  • 第三方和内部开发的IP块及其安全态势;
  • 应用安全验证方法并详细记录结果;
  • 应用标准编制,如通用弱点列举(CWE™)或ISO标准,如ISO/SAE 21434(道路车辆网络安全工程)、ISO/IEC 19790(密码模块的安全要求)或ISO/IEC 15408(通用标准);
  • 任何应用的安全认证及其文档。

当然,HBOM可能不是一个绝佳的妙计。但它们可以建立一种透明度,允许在产品设计、支持和维护期间做出明智的决策,并对任何安全事件作出响应。结合采用新兴的产品安全标准,HBOM可以帮助我们实现更高级别的可见性、保障和安全性。Hppesmc

本文翻译自国际电子商情姊妹刊EE times us,原文标题:Hardware Bill of Materials: Essential in Electronics as Ingredients are to FoodHppesmc

责编:Clover.li
本文为国际电子商情原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫,一键转发

  • 关注“国际电子商情” 微信公众号

  • 印度查税风波:继小米、OPPO之后,传vivo再遭调查

    自印度财税部门于2021年12月21日起在全国掀起“查税风暴”之后,小米、OPPO、一加、华为、vivi等中资科技企业均被印度税务机构进行过调查。继印度官方指控小米、OPPO逃税之后,8月3日vivo被指控逃避关税。

  • 江波龙今日创业板上市,募资总额近24亿元

    国际电子商情5日讯 据交易所公告,江波龙今日在深圳证券交易所创业板上市,公司证券代码为301308,发行价格55.67元/股,发行市盈率为24.76倍。

  • 2022世界500强榜出炉: 上榜中企总营收首次超过美企(附

    国际电子商情4日讯 美国《财富》昨日全球同步发布最新的世界500强排行榜。 数据显示,上榜公司的总营业收入达到37.8万亿美元,比上年上涨19.2%,净利润总和达3.1万亿美元,三个数值均创下该榜单有史以来的新高。中国上榜企业的营收占500家上榜企业总营收的31%,首次超过美国。美国上榜企业占上榜企业总营收的30%。(附各国榜单情况)...

  • 工业领域如何落实碳达峰?关键实施方案出炉!

    众所周知,工业是中国能源消耗和二氧化碳排放的最主要领域。在全球能源紧缺的当下实现工业领域的碳达峰,是我国实现减排减碳的关键一步。日前,工业和信息化部、国家发展改革委、生态环境部联合印发《工业领域碳达峰实施方案》,为工业领域碳达峰制定“路线图”。

  • 明年DRAM需求位元成长幅度恐创历年最低,仅为8.3%

    国际电子商情3日讯 市调机构在最新预测报告指出,2023年DRAM市场需求位元成长仅8.3%,是历年来首度低于10%,远低于供给位元成长约14.1%...

  • 传佩洛西密访,台积电这样回应...

    国际电子商情讯 最新消息称,美国众议院议长佩洛西“点名”将会见晶圆代工龙头董事长刘德音,将就美国国会通过的“芯片法案”(CHIPS-plus)的实施进行讨论,以代表其对半导体产业的重视与关心

  • 商务部暂停天然砂对台湾地区出口,产业会有哪些影响?

    国际电子商情3日讯 今日一早,#商务部暂停天然砂对台湾地区出口#话题上了热搜。业界担忧,商务部此举除了严重影响台湾的建筑业外,还可能对台积电等企业带去冲击。

  • 深圳发布新规:允许完全自动驾驶车辆上路!

    国际电子商情从央视财经获悉,从8月1日开始,《深圳经济特区智能网联汽车管理条例》正式实施,智能网联汽车列入国家汽车产品目录或者深圳市智能网联汽车产品目录,并取得相关准入后,可以销售;经公安机关交通管理部门登记,可以上路行驶;经交通运输部门许可,可以从事道路运输经营活动。这也让深圳成为了国内首个允许L3级别自动驾驶车辆合法上路的城市。

  • 台媒:MLCC/芯片电阻市况明年Q1可望回温

    国际电子商情2日讯 据台媒引述业内人士说法,MLCC、芯片电阻标准品市况可望在2023年第1季回温。

  • Q2安卓平板电脑市场份额跌破50%,创十年来新低

    国际电子商情2日讯 市调机构近期发布的研究报告指出,通货膨胀影响了家庭消费支出使消费者信心下降,但混合办公的流行推动了移动计算设备需求,平板电脑出货量继续超过疫情前的水平。不过,Q2全球安卓平板电脑市场份额降至49%,创十年来新低...

  • 免征新能源汽车购置税再延长,汽车供应链将受益

    国际电子商情讯 近日,国务院常务会议明确延续免征新能源汽车购置税政策,截至目前相关机构暂未公布将延长到何时。实际上,此前相关部门已经先后两次延长免征新能源汽车购置税,本次为第三次延长。

  • 升级禁令?美国考虑限制向中国存储芯片制造商运输设备..

    国际电子商情2日从外媒获悉,美国正在考虑限制向中国存储芯片制造商运输美国的芯片制造设备,以遏制中国的半导体行业发展...

近期热点

广告
广告

EE直播间

更多>>

在线研讨会

更多>>