西门子开发了一个可用于检查西门子产品数字漏洞的平台——西门子可扩展安全测试器,简称SiESTA。产品部门可以用它来保护设备和系统免受网络攻击。
几乎没有任何一家工业企业像西门子这样每天使用如此多种完全不同的设备和软件应用。例如,针对常用产品组件以及传感器和机器人中的实时操作系统,西门子要使用开源软件;使用桌面电脑时要用到Windows操作系统,而当处理基于云的开放式物联网操作系统MindSphere相关业务时则要和物联网打交道。此外,也几乎没有任何一家公司会在如此多的技术领域中使用这些数字工具,相关领域横跨楼宇管理、数字化工厂、电厂、铁路系统以及可运行数十年的轮机。
保护这一切免受黑客攻击是一项艰巨的任务。2018年世界经济论坛发布的一项调查显示,在工业领先国家中,管理者将网络攻击视为公司面临的最大风险。2018年10月,西门子成立全新网络与信息安全组织。它通过推进多种网络与信息安全相关工作来保护公司的IT基础设施、产品和客户免受攻击。
未雨绸缪
西门子ProductCERT(计算机应急小组)是该组织的重要组成部分。团队可以在早期发现西门子产品的安全漏洞并迅速提供解决方案。“任何软件都可能出现漏洞。”ProductCERT负责人Klaus Lukas表示,“这就是为什么我们要持续查找安全漏洞。一旦发现,我们就会帮助产品负责人寻找解决方案并告知客户。如果处理得当,这样的操作能够提高透明度并帮助建立客户信任。这是除安全以外我们的工作能够带来的最大价值。”
西门子客户众多且产品多样,如何在本地化的环境中填补安全漏洞?ProductCERT开发了市场中唯一可检测西门子产品安全性的平台,可用于发现已知和未知的安全漏洞。该平台被称为“SiESTA®”(西门子可扩展安全测试器)。它是一个巧克力盒大小的金属盒,拥有许多接口,可以直接连接到设备或服务器上。一旦基于预设目标完成SiESTA的配置,自动测试程序就会启动多种安全工具,从而让安全专家拥有“siesta”,即西班牙语中的“午休”。
通用测试工具?
SiESTA在2014年正式投入使用。当时,“心脏出血(Heartbleed)”占据了新闻头条。“心脏出血”是存在于开源数据库OpenSSL中的安全漏洞,而西门子使用OpenSSL来保证机器与生产设施之间的通讯。为找出受此漏洞影响的产品,ProductCERT开发了一个测试程序并将其发送给西门子各开发部门。借助这个程序,西门子可以确定受影响的产品并在短时间内采取对策。“从那时起,我们就有了一个想法,要开发一种可应用于多种西门子产品及其软件环境中的用户友好型测试设备。它要能够轻松快速地完成这样的测试工作。”西门子ProductCERT成员Tobias Limmer回忆道。从2016年起,西门子各业务部的安全部门就一直在使用SiESTA。现在,它也以服务的形式被提供给终端客户。
SiESTA包含大量常见安全工具。它们被整合到一个便捷的用户界面中,可以根据需要进行更新和扩展。Kali Linux是SiESTA使用的操作系统之一。它提供了多种安全测试工具。SiESTA也支持许多常见商业工具。这让西门子测试部门能够知道当攻击者试图从外部入侵系统时他们会看到什么。
这些工具可以识别“心脏出血”、“幽灵(Ghost)”、“想哭(Wannacry)”和“NotPetya”等漏洞。SiESTA还可以发现全新的漏洞。它利用模糊测试将目标明确的无效信息发送给系统并查看受试设备的行为。当产品推出新版本时,SiESTA则可以利用负载测试来检测产品在高网络负载下能否正确运行。在工业网络安全评估等其他场景中,SiESTA的网络扫描功能可以判断可供使用的设备和软件的版本、它们是否被安全配置以及是否存在已知安全漏洞等。
快速浏览
SiESTA还可以检查产品是否安装了最新的安全更新,以及是否执行了所有必要的强化措施。如果需要,它还可以实施根据工业环境特别调整过的轻量级测试。这项服务在西门子内部已使用多年,现在也被提供给客户。它使安全专家能够确保其系统能够抵御攻击并符合国际安全标准。
最后,除常见安全工具外,SiESTA还提供专门为西门子产品设计的测试。这并不奇怪。西门子的产品经理和安全团队通常会在产品上市前事先查找漏洞。这不仅让产品经理能够快速开发和测试软件补丁,还使他们能够确保补丁可以切实解决问题。这种测试让旧版本的西门子产品中的缺陷能够被快速查出并消除。
根据所选测试程序的范围,仅需几分钟或几小时,安全平台就可以提供一份易读的报告,上面以红绿灯的形式指出了可能的安全漏洞,让问题一目了然。报告还重点给出了建议网络运营商采取的行动。“利用SiESTA,我们为产品测试部门提供了一种简单而灵活的方法,帮助他们将基本的安全测试融入他们熟悉的测试过程中。”Lukas说,“可以说,这是一把网络与信息安全的瑞士军刀。”