“恶意内部人士”破坏电子防伪

一份新的报告发现，半导体行业推荐的防伪策略可能会带来意想不到的后果，即增加而不是减少假冒芯片进入供应链的风险。

该报纸的标题为为什么假冒商品的风险规避策略会失败-表示，尽管实施了假冒风险规避战略，电子行业仍在供应链中发现假冒芯片。

假冒产品最终进入供应链，主要是通过半导体生态系统之外的采购，以及在公开市场上使用独立分销商和经纪人。这里的芯片比授权来源的便宜，而且真实性和可追溯性控制有限。

因此，他们在论文中写道，目前推荐的防伪策略是从授权来源购买芯片，这将不需要昂贵和具有挑战性的真实性测试发表在杂志中计算机和安全。

报告称:“不幸的是，尽管实施了这一战略，假冒芯片仍继续进入半导体生态系统。”“事实上，防止假冒芯片进入供应链已成为一项重大挑战，因为造假者不断提高其技术能力，并更有决心击败反制措施。”

尽管人们普遍认为仿冒品来自生态系统之外，但报告指出，由于“恶意的内部人士”能够进入系统，仿冒品正在从授权供应链内部发生。

报道称，在这种情况下，内部人员会将正品芯片转移给未经授权的外部订单，用伪造芯片替换。

报告称，“大多数半导体供应链风险的最初分析假装供应链中的供应链中的问题位于供应链本身之外，而不是在供应链之外。”

“在这项研究的开始，我们也倾向于接受这个假设，所以我们惊讶地发现，假冒芯片进入半导体生态系统需要一个恶意的内部人员。由于威胁环境在不断演变，半导体生态系统中利益相关者的企业风险管理程序也必须不断演变。”

该报告建议对基于分层的风险防御框架来保护公司免受恶意内部内部人士的措施。

“第一层防守是利益相关者扩大其企业的边界，包括有内幕知识的所有实体的利益相关者信息或系统，”来自美国乔治华盛顿大学的作者说。这将允许执行战略，例如执行非披露协议并提供内幕威胁培训，以及增加的检测措施。

报告建议的第二层和第三层防御措施分别包括芯片从接收到使用的内部可追溯性和对芯片的物理访问控制。这些层可以提高系统的物理安全性，具有阻止恶意内部人员和提供预警的双重作用。

该报告建议使用一个简单的文件系统进行追踪，并使用双人策略访问芯片，以及多种其他安全措施，如生物识别技术或RFID。

最后，第四层防御将包括协调命令的内部审计，并能对可疑行为提供早期警告。虽然审计程序不一定会阻止假冒芯片进入供应链，但它将有助于更快地发现非法行为。