Securing the Semiconductor Supply Chain Using the Cloud
Una conversación con Deirdre Hanford, directora de seguridad de Synopsys
Pódcast | 16 de julio de 2021
El 52 % de los fabricantes han notado un “aumento significativo” del fraude cibernético durante la pandemia. Entre los dos ataques más comunes, se encuentran el ransomware y el fraude en los pagos electrónicos, según un informe de la Association of Certified Fraud Examiners. Deirdre Hanford, directora de seguridad de Synopsys, líder en Electronic Design Automation (EDA), IP de semiconductores y herramientas y servicio de pruebas de seguridad de aplicaciones, junto con David Pellerin, jefe de desarrollo empresarial mundial para semiconductores de AWS, conversaron con el equipo de AWS Industrial Insights sobre los desafíos de seguridad en las cadenas de suministro actuales. A partir de la perspectiva del sector de los semiconductores, explican cómo reforzar la seguridad en toda la cadena de suministro mediante la inspección de la exposición actual en materia de seguridad, el monitoreo de los usuarios que acceden a la red y el aprovechamiento de la nube.
Las cadenas de suministro de semiconductores cuentan con una gran presión
AWS: Deirdre, ¿cuáles cree que son los mayores desafíos en la cadena de suministro de semiconductores en la actualidad?
Deirdre Hanford: son tres: confidencialidad, integridad y disponibilidad. Nos referimos a estas como CID y debemos asegurarnos de que solo las personas que deban ver ciertos datos de diseño o de fabricación de semiconductores puedan verlos y para ello, debemos también asegurarnos de que esos datos no estén comprometidos y se pueda acceder e ellos.
El COVID-19 ha interrumpido las cadenas de suministro en todo el mundo, incluida la microelectrónica. A la vez, hemos notado un gran aumento en la demanda de más dispositivos de parte de las personas que han pasado a trabajar y aprender desde casa o han decidido modernizar sus hogares con dispositivos electrónicos inteligentes. Y de empresas que han aprovechado este tiempo para acelerar sus transformaciones digitales. Por ejemplo, muchas empresas han instalado equipos de automatización industrial en plantas de fabricación, han acelerado la migración a la nube y han aprovechado el análisis de big data. Todo esto ha provocado un incremento en la microelectrónica. Este es el lado de la demanda.
Tres determinantes fundamentales del buen estado de los datos de la cadena de suministro
- Confidencialidad: solo las personas que deben ver determinados datos de diseño o fabricación pueden consultarlos
- Integridad: los datos no se encuentran comprometidos
- Disponibilidad: los que deben contar con acceso a los datos lo tienen
Ahora, si analizamos el lado de la oferta de este desafío de disponibilidad y CID, solo hay una cantidad finita de capacidad de fabricación de microelectrónica en el mundo y esas plantas de fabricación de semiconductores se encuentran reservadas a más del 100 % de su capacidad en este momento. Además, los incendios en algunas plantas de fabricación japonesas y las grandes tormentas invernales en Texas incrementaron el desafío. Por lo que la disponibilidad de semiconductores es un problema sustancial en la actualidad. La demanda es alta y la oferta se encuentra sumamente limitada.
AWS: Dave, se reúne con clientes de semiconductores de todo el mundo. ¿También nota estas tendencias?
David Pellerin: Sí, los desafíos de suministro de semiconductores afectan a casi todos. El sector automotriz se enfrenta especialmente a un desafío en este momento porque los vehículos se han convertido en centros de datos móviles, en particular los vehículos autónomos de última generación. Por lo que cualquier falla en la cadena de suministro, como por ejemplo, el control de emisiones o las bolsas de aire o el infoentretenimiento puede frenar la producción. Escuchamos a clientes que tratan de descubrir cómo predecir mejor los riesgos de la cadena de suministro o el rendimiento de los semiconductores, para mejorar el suministro de chips y la trazabilidad y previsibilidad de la cadena de suministro.
Además, los clientes intentan cambiar mucho más rápido. Si está creando un diseño de próxima generación para el sector automotriz, ¿cómo lo lleva al mercado mucho más rápido? ¿Cómo se asegura de pasar a no tener defectos para abastecer las necesidades de estos importantes clientes del sector automotriz? Estimulando ideas nuevas sobre la utilización de la nube para la verificación.
Deirdre Hanford: He leído que hay mucha excelencia en el inventario “justo a tiempo” en muchos sectores. Esto se observa desde hace tiempo en el sector de hardware de equipos. El sector automotriz se ha enorgullecido durante mucho tiempo de contar con un inventario justo a tiempo y ahora todo el sector reconsidera la administración de inventarios. De modo que el desafío del suministro de semiconductores ha afectado a muchas empresas.
David Pellerin: Una cadena de suministro tan extensa y compleja genera la necesidad de administrar cuidadosamente numerosas fuentes para determinar dónde y cuándo debe almacenar el exceso de inventario. Cuando las señales de demanda y la cadena de suministro se interrumpen de forma simultánea, algunas organizaciones comprarán mucho y otras poco, y todo el saldo del inventario se saldrá de control.
Deirdre Hanford: Aunque la mayoría de las plantas de fundición han anunciado que están agregando capacidad de fabricación, tomará al menos un año o más, generar capacidad de fabricación nueva. No hay soluciones inmediatas.
Dónde entran los actores malintencionados
AWS: Con todos estos jugadores, debe haber muchos puntos de entrada diferentes para actores malintencionados.
Deirdre Hanford: Sí, la microelectrónica es un sector sumamente desagregado, lo que significa que a lo largo de la cadena de suministro contribuyen diferentes partes y diversos actores participan durante el proceso de diseño, de fabricación, de empaquetado y, por último, en el de implementación.
En la seguridad, todos se encuentran en un proceso. “Nunca se está satisfecho y nunca es perfecto; siempre se deben buscar formas de mejorar la seguridad”.
—Deirdre Hanford
La confidencialidad del diseño debe analizarse con cuidado, ya que involucra a muchas partes, al igual que la integridad del diseño. Este es un desafío para nosotros como sector. Recientemente, una planta de fundición sufrió una falla de seguridad cuando una actualización de software activó un malware. Se vio comprometida la confidencialidad de todo el entorno. Además, con el tremendo desafío de suministro en este momento, los actores malintencionados pueden volver a empaquetar las partes viejas, ponerles una etiqueta nueva y vender dispositivos falsificados, lo que arriesga la integridad de cualquier fabricante que las incorpore. Otro problema de seguridad se produce cuando un actor malintencionado inserta un troyano en un dispositivo, ya sea para debilitarlo o para establecer un ingreso para un actor malintencionado cuando dicho dispositivo se implemente.
David Pellerin: En Amazon, contamos con equipos de desarrollo de chips, utilizamos el software de Synopsys, nuestros socios de fundición fabrican los chips y tenemos proveedores de propiedad intelectual (IP). Vivimos esto todos los días en Amazon en equipos como Annapurna Labs que diseñan chips para centros de datos. Y trabajamos en cómo colaborar de forma más segura. Por ejemplo, si hemos desarrollado un sistema para un chip o trabajamos en uno, habrá bloques de propiedad intelectual o núcleos que necesitamos obtener de un tercero como ARM o incluso Synopsys. Por lo tanto, es muy importante contar con una forma segura de colaborar en esa IP propietaria para personalizarla, validarla y verificarla.
La colaboración es fundamental para resolver problemas complejos
AWS: ¿La tecnología puede desempeñar un rol más importante en la seguridad de la cadena de suministro?
David Pellerin: Sí. El primer paso es crear un entorno en el que pueda segregar los datos, para colaborar de forma segura en primera y tercera persona mediante una cámara basada en la nube. Una forma de pensar en ese tipo de colaboración es mediante el análisis de los problemas de fabricación. Tal vez tenga un socio de prueba y ensamblaje subcontratado. Desea obtener algunos datos del equipo de prueba y ponerlos en un lago de datos compartido, pero seleccionado y protegido de forma cuidadosa, para poder resolver problemas de rendimiento o identificar problemas de empaquetado con mayor rapidez.
La nube puede proporcionar un entorno muy seguro para la colaboración. La nube como plataforma de colaboración llegó para quedarse”.
—Deirdre Hanford
Recientemente publicamos un estudio práctico con Global Unichip, una empresa de semiconductores con sede en Taiwán que cuenta con IP para interfaces. Trabajaron con uno de nuestros socios, proteanTecs, para mejorar la fiabilidad del paquete 2.5D y proporcionar formas fiables de reparar esos chips en el campo con líneas redundantes en las interconexiones de chips. Este es un ejemplo de cómo un cliente final que trabaja con Global Unichip, que es un proveedor de IP, que trabaja con una planta de fundición o un socio subcontratado de ensamblaje y pruebas, puede abordar los problemas para crear chips sumamente confiables.
Comenzamos a ver este tipo de colaboración en toda clase de formas interesantes y aprovechamos el machine learning para abordar algunos de estos problemas de fiabilidad y trazabilidad de la IP a través de análisis avanzados en la nube. La nube es una gran ayuda para la colaboración porque puede crear entornos altamente seguros de forma rápida, junto con análisis avanzados y la capacidad de escalar con rapidez.
AWS: Entonces, ¿la nube puede ayudarlo a superar los desafíos de seguridad?
Deirdre Hanford: La nube puede proporcionar un entorno muy seguro para esta colaboración. Puede ver con exactitud quién accede a los datos. Puede comprender si surge algo anómalo de repente y tomar medidas y configurar alertas. Creo que la pandemia ha acelerado esta colaboración, aunque ciertamente AWS ha sido un pionero con su trabajo interno. Creo que la nube como plataforma de colaboración llegó para quedarse, y Synopsys ofrece soluciones de nube integrales que los clientes pueden aprovechar.
David Pellerin: De hecho, nuestro trabajo con Synopsys ayudó a allanar el camino. Synopsys no solo es un proveedor de software EDA (automatización de diseño electrónico), también es un proveedor de IP que se utiliza en una amplia variedad de chips avanzados, incluido el de Amazon. Por lo que nuestra capacidad para colaborar con socios como Synopsys y pasar con rapidez a productos de alta fiabilidad se ha posibilitado en gran medida y acelerado drásticamente con estos métodos de colaboración basados en la nube.
Beneficiarse de la seguridad y la escala de la nube
AWS: Parece que la colaboración segura tiene muchos beneficios, pero ¿cómo comienza una empresa industrial?
Deirdre Hanford: Lo primero y más importante que se debe hacer es pensar en el panorama de las amenazas, considerar el entorno de trabajo, dónde podrían entrar las amenazas y dónde podrían salir los datos, y establecer prioridades. Necesita un enfoque y un marco de seguridad completos, pero debería comenzar por pensar en un actor de amenazas y cómo mitigarlas.
Dicho esto, hemos tenido desafíos dentro de nuestro propio entorno. Recientemente, hubo un problema de seguridad en todo el sector y casi todas las empresas que administran una red tuvieron que evaluar su vulnerabilidad, al igual que nosotros. Vimos que, aunque podíamos determinar rápidamente que no estábamos comprometidos, para responder a las preguntas de nuestros clientes sobre su vulnerabilidad, teníamos que verificarlo con nuestros proveedores. Debíamos conocer nuestra cadena de suministro porque, si confío en software de terceros en mi red y tal vez se trata de una aplicación SaaS, necesito asegurarme de que ese proveedor no se vea comprometido porque puede estar administrando datos.
Necesita un enfoque y un marco de seguridad completos, pero debería comenzar por pensar en un actor de amenazas y cómo mitigarlas”.
—Deirdre Hanford
Existe toda una cadena de suministro que influye en mi capacidad para afirmar que un problema no me ha afectado. Una de las cosas que aprendimos a principios de este año fue la importancia de conocer los espacios de los proveedores y socios y de saber si sus proveedores cuentan con resiliencia y la capacidad de proteger los activos.
AWS: ¿Cómo elige a los socios adecuados en su cadena de suministro? ¿En qué se centra cuando los evalúa?
Deirdre Hanford: Contamos con un proceso interno cada vez que incorporamos a un proveedor nuevo y, durante la selección de proveedores, utilizamos herramientas de terceros para evaluar el perfil de seguridad de una empresa. Cuando incorporamos a un proveedor nuevo, consideramos si el proveedor tocará los datos de los empleados o clientes o accederá a nuestras redes. Las respuestas a esas preguntas desencadenan un proceso de investigación para garantizar que el proveedor pueda hacer frente a nuestros procesos y controles. No es raro que auditemos a un proveedor, en especial si creemos que accederá a datos seguros.
Mi mensaje aquí es que las organizaciones y empresas de la cadena de suministro se han vuelto más sofisticadas. Muchas empresas, estoy segura de que AWS es una, cuentan con un departamento de administración de la cadena de suministro riguroso y desean asegurarse de que los proveedores mejoren constantemente sus procesos comerciales y de seguridad. En la seguridad, todos se encuentran en un proceso. Nunca se está satisfecho y nunca es perfecto; siempre se deben buscar formas de mejorar la seguridad”.
AWS: Dave, ¿cómo pueden utilizar las empresas la nube como un entorno seguro para el diseño y qué tipo de casos de uso observa en los clientes?
David Pellerin: En los últimos años, hemos notado un cambio significativo en el pensamiento entre las empresas de semiconductores globales, tanto grandes como pequeñas. El anuncio de TSMC de 2018 y el anuncio posterior de Samsung sobre la habilitación de la nube para el diseño fueron momentos decisivos. Las plantas de fundición que cuentan con algunas de las IP más críticas del sector, sus kits de diseño de procesos, o PDK, adoptaban y promovían el uso de la nube para el diseño seguro de IC (chip integrado). Fue un gran problema desde el punto de vista de la seguridad. Porque si una planta de fundición pure play, quiere más negocios en el futuro, necesitará empresas de semiconductores de todos los tamaños, desde empresas inteligentes nuevas hasta medianas, hasta quizás empresas de sistemas que se inician en el diseño de chips a medida que se integran verticalmente, para operar de forma segura.
¿Y qué mejor manera de hacerlo que adoptar una infraestructura basada en la nube que es más predecible y puede proporcionar niveles personalizados de seguridad que, sinceramente, son muy difíciles de implementar para las pequeñas y medianas empresas de semiconductores? Porque, como dijo Deirdre, es un proceso. No puede comprar algunos firewalls y algo de infraestructura de red y quizás algún software con clasificación de seguridad y creer que eso es todo. Necesita adelantarse a varios vectores de ataque y mejorar la seguridad de forma continua.
Y eso es muy difícil si todo lo que realmente desea hacer es diseñar chips semiconductores. En la nube, se beneficia de la escala y la variedad de clientes en sectores importantes (gobierno, servicios financieros, energía, ciencias biológicas, sanidad, etc.) que cuentan con sus propios requisitos de seguridad. Incluso la empresa de semiconductores más pequeña puede beneficiarse de ese nivel de seguridad y creo que las plantas de fundición lo han notado. Hemos visto un cambio significativo en la forma de pensar sobre dónde puede y debe ubicarse la IP más segura. Y, en la actualidad, es en la nube. El diseño y la verificación de Silicon en la nube se están convirtiendo en una necesidad para alcanzar los objetivos de comercialización más rápidos; AWS proporciona soluciones de nube seguras en colaboración con Synopsys.
Compartir esta historia
Lectura recomendada
Acerca de nuestros invitados
Deirdre Hanford
Directora de seguridad (CSO) de Synopsys
Deirdre, en su función de directora de seguridad en Synopsys, trabaja de manera colaborativa para proteger la organización. Además, está al frente del trabajo para impulsar el conocimiento del sector y posibilitar el diseño seguro desde el software hasta el hardware a fin de respaldar el negocio en EDA, IP e integridad del software. Anteriormente se desempeñó como codirectora general del Grupo de Diseño de Synopsys, a cargo del desarrollo y la implementación del diseño físico, la implementación y las líneas de productos de señal analógica/mixta. Deirdre obtuvo una licenciatura en ingeniería de la Universidad de Brown y un máster en ingeniería de la Universidad de California en Berkeley. Actualmente preside el Comité Asesor de Ingeniería de la Universidad de Brown y es miembro de la Junta Asesora de Ingeniería de la Facultad de Ingeniería de la Universidad de California en Berkeley.
David Pellerin
Jefe de desarrollo empresarial mundial para semiconductores de AWS
David Pellerin se desempeña como jefe de desarrollo empresarial mundial para tecnología de punta/semiconductores en Amazon Web Services. Antes de incorporarse a AWS, el Sr. Pellerin se desempeñó en el campo de la automatización de diseño electrónico y la informática reconfigurable acelerada por hardware. Cuenta con experiencia en simulación y optimización de lógica digital, síntesis de alto nivel, informática en red y clústeres y sistemas integrados para procesamiento de imágenes, video y redes. Ha publicado cinco libros técnicos de Prentice Hall.
Dé el siguiente paso
Escuche y aprenda
Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.
Manténgase al tanto
AWS Executive Connection es un destino digital para líderes de tecnología y negocios, en donde compartimos información.
Vea bajo demanda
Obtenga información de sus homólogos y descubra nuevas formas de impulsar su camino hacia la transformación digital a través de esta exclusiva red internacional.
Inspírese
Escuche cómo los líderes de AWS y de los clientes debaten sobre sus prácticas recomendadas, lecciones y pensamiento transformador.