隨著復(fù)雜的勒索軟件、固件攻擊以及AI和ML的廣泛使用等威脅不斷增加，新的法規(guī)和標(biāo)準(zhǔn)(如國(guó)家安全局的商業(yè)國(guó)家安全算法(CNSA)套件)激增，以幫助組織解決關(guān)鍵漏洞并建立彈性，同時(shí)對(duì)數(shù)據(jù)泄露負(fù)責(zé)。然而，對(duì)于具有復(fù)雜設(shè)計(jì)流程和傳統(tǒng)基礎(chǔ)設(shè)施的開發(fā)人員來(lái)說，跟上不斷變化的監(jiān)管環(huán)境是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。

在Lattice看來(lái)，采用從硬件到軟件的多層安全方法，利用現(xiàn)場(chǎng)可編程門陣列(FPGA)技術(shù)，對(duì)于計(jì)算、通信和工業(yè)市場(chǎng)的公司來(lái)說，有效保護(hù)系統(tǒng)免受復(fù)雜攻擊并符合新要求至關(guān)重要。

當(dāng)然，對(duì)安全的防護(hù)肯定不止FPGA一種方案，比如業(yè)界此前主要基于可信平臺(tái)模塊(TPM)和MCU硬件平臺(tái)來(lái)實(shí)現(xiàn)。但與FPGA相比，這兩種方案的控制流程和時(shí)序均采用串行處理方式實(shí)現(xiàn)，無(wú)法像FPGA方案一樣同時(shí)對(duì)多個(gè)外設(shè)進(jìn)行監(jiān)控和保護(hù)，實(shí)時(shí)性較弱。

除了實(shí)時(shí)性外，在檢測(cè)和恢復(fù)方面，TPM和MCU硬件平臺(tái)雖然也能夠在啟動(dòng)之前對(duì)受保護(hù)的芯片固件進(jìn)行自動(dòng)驗(yàn)證，或是對(duì)標(biāo)準(zhǔn)的固件回滾進(jìn)行恢復(fù)，但總體來(lái)看是“被動(dòng)”的。也就是說，它并不會(huì)進(jìn)行主動(dòng)驗(yàn)證，只能通過SPI接口配合主芯片接收/回傳相關(guān)指令，在面對(duì)時(shí)間敏感型應(yīng)用或是強(qiáng)度較大的破壞，例如DOS攻擊和重復(fù)攻擊時(shí)，無(wú)法進(jìn)行更快地識(shí)別和響應(yīng)，并做出實(shí)時(shí)保護(hù)。

作為一套真正從固件級(jí)別做起的網(wǎng)絡(luò)保護(hù)恢復(fù)系統(tǒng)，Lattice Sentry解決方案集合由MachXO3D/Mach-NX FPGA/MachXO5D-NX底層硬件平臺(tái)、一系列經(jīng)過預(yù)驗(yàn)證和測(cè)試的IP核、軟件工具、參考設(shè)計(jì)、演示示例和定制設(shè)計(jì)服務(wù)共同構(gòu)成。得益于此，平臺(tái)固件保護(hù)恢復(fù)(PFR)應(yīng)用的開發(fā)時(shí)間可以從10個(gè)月縮短到6周。

在最新的Sentry 4.0版本中，支持在通信、計(jì)算、工業(yè)和汽車應(yīng)用中開發(fā)符合美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)安全機(jī)制(NIST SP-800-193)標(biāo)準(zhǔn)的PFR解決方案，以及硬件層面支持最新的MachXO5D-NX系列器件，成為了最大亮點(diǎn)。具體體現(xiàn)在以下四方面：

帶有I2C外設(shè)攻擊保護(hù)演示的多QSPI/SPI監(jiān)控

支持SPDM和MCTP，實(shí)現(xiàn)高效的平臺(tái)管理以及安全無(wú)縫的服務(wù)器操作

全新的設(shè)計(jì)工作區(qū)模板參考設(shè)計(jì)，支持PFR 4.0解決方案、I3C和更新的加密算法(ECC384/512)且完全兼容DC-SCM

擴(kuò)展了即插即用設(shè)計(jì)工具和參考設(shè)計(jì)，包括工作區(qū)模板、策略、配置和清單生成器

此外，萊迪思Sentry為客戶提供了一種簡(jiǎn)化的配置和定制PFR解決方案的方法，該解決方案是針對(duì)其安全環(huán)境的獨(dú)特復(fù)雜性量身定制的。在許多情況下，可以通過修改隨附的RISC-V C源代碼來(lái)開發(fā)功能齊全的系統(tǒng)級(jí)PFR解決方案。

之所以要強(qiáng)調(diào)PFR，是因?yàn)獒槍?duì)于固件攻擊的保護(hù)，PFR可以用作系統(tǒng)中的硬件可信根，補(bǔ)充現(xiàn)有的基于BMC/MCU/TPM的體系，使之完全符合NIST SP-800-193標(biāo)準(zhǔn)，從而為保護(hù)企業(yè)服務(wù)器固件提供了一種全新的方法，可全面防止對(duì)服務(wù)器所有固件的攻擊。

NIST SP-800-193對(duì)整個(gè)硬件平臺(tái)上的固件保護(hù)提出的規(guī)范性要求主要包含三個(gè)部分：首先能夠檢測(cè)到黑客在對(duì)固件進(jìn)行攻擊；第二是進(jìn)行保護(hù)，例如有人在對(duì)固件進(jìn)行非法的讀寫操作時(shí)，要阻止這些非法行為，并匯報(bào)給上層軟件，發(fā)出警告信息；第三是即使在固件遭到破壞的情況下，也能夠進(jìn)行恢復(fù)，例如從備份文件中恢復(fù)。這三部分(恢復(fù)、檢測(cè)、保護(hù))相互融合、相互配合，主要目的就是保護(hù)硬件平臺(tái)上的固件。

總體而言，快速發(fā)展的網(wǎng)絡(luò)安全環(huán)境需要一種強(qiáng)大的多層安全方法。萊迪思通過提供先進(jìn)的加密敏捷性、硬件信任根功能以及實(shí)時(shí)保護(hù)、檢測(cè)和恢復(fù)功能，繼續(xù)幫助企業(yè)在威脅面前保持領(lǐng)先，確保系統(tǒng)完整性，時(shí)刻構(gòu)建一個(gè)安全和有彈性的數(shù)字生態(tài)系統(tǒng)。