西門子為什么不能忽視網(wǎng)絡(luò)信息安全？

隨州西門子開(kāi)發(fā)了一個(gè)可用于檢查西門子產(chǎn)品數(shù)字漏洞的平臺(tái)——西門子可擴(kuò)展安全測(cè)試器，簡(jiǎn)稱SiESTA。產(chǎn)品部門可以用它來(lái)保護(hù)設(shè)備和系統(tǒng)免受網(wǎng)絡(luò)攻擊。 

幾乎沒(méi)有任何一家工業(yè)企業(yè)像西門子這樣每天使用如此多種完全不同的設(shè)備和軟件應(yīng)用。例如，針對(duì)常用產(chǎn)品組件以及傳感器和機(jī)器人中的實(shí)時(shí)操作系統(tǒng)，西門子要使用開(kāi)源軟件；使用桌面電腦時(shí)要用到Windows操作系統(tǒng)，而當(dāng)處理基于云的開(kāi)放式物聯(lián)網(wǎng)操作系統(tǒng)MindSphere相關(guān)業(yè)務(wù)時(shí)則要和物聯(lián)網(wǎng)打交道。此外，也幾乎沒(méi)有任何一家公司會(huì)在如此多的技術(shù)領(lǐng)域中使用這些數(shù)字工具，相關(guān)領(lǐng)域橫跨樓宇管理、數(shù)字化工廠、電廠、鐵路系統(tǒng)以及可運(yùn)行數(shù)十年的輪機(jī)。 

保護(hù)這一切免受黑客攻擊是一項(xiàng)艱巨的任務(wù)。2018年世界經(jīng)濟(jì)論壇發(fā)布的一項(xiàng)調(diào)查顯示，在工業(yè)領(lǐng)先國(guó)家中，管理者將網(wǎng)絡(luò)攻擊視為公司面臨的我風(fēng)險(xiǎn)。2018年10月，西門子成立全新網(wǎng)絡(luò)與信息安全組織。它通過(guò)推進(jìn)多種網(wǎng)絡(luò)與信息安全相關(guān)工作來(lái)保護(hù)公司的IT基礎(chǔ)設(shè)施、產(chǎn)品和客戶免受攻擊。 

未雨綢繆

西門子ProductCERT（計(jì)算機(jī)應(yīng)急小組）是該組織的重要組成部分。團(tuán)隊(duì)可以在早期發(fā)現(xiàn)西門子產(chǎn)品的安全漏洞并迅速提供解決方案�！叭魏诬浖�都可能出現(xiàn)漏洞�！盤roductCERT負(fù)責(zé)人Klaus Lukas表示，“這就是為什么我們要持續(xù)查找安全漏洞。一旦發(fā)現(xiàn)，我們就會(huì)幫助產(chǎn)品負(fù)責(zé)人尋找解決方案并告知客戶。如果處理得當(dāng)，這樣的操作能夠提高透明度并幫助建立客戶信任。這是除安全以外我們的工作能夠帶來(lái)的我價(jià)值。” 

西門子客戶眾多且產(chǎn)品多樣，如何在本地化的環(huán)境中填補(bǔ)安全漏洞？ProductCERT開(kāi)發(fā)了市場(chǎng)中唯一可檢測(cè)西門子產(chǎn)品安全性的平臺(tái)，可用于發(fā)現(xiàn)已知和未知的安全漏洞。該平臺(tái)被稱為“SiESTA?”（西門子可擴(kuò)展安全測(cè)試器）。它是一個(gè)巧克力盒大小的金屬盒，擁有許多接口，可以直接連接到設(shè)備或服務(wù)器上。一旦基于預(yù)設(shè)目標(biāo)完成SiESTA的配置，自動(dòng)測(cè)試程序就會(huì)啟動(dòng)多種安全工具，從而讓安全我擁有“siesta”，即西班牙語(yǔ)中的“午休”。 

SiESTA由Klaus Lukas（右二）領(lǐng)導(dǎo)的西門子計(jì)算機(jī)應(yīng)急小組ProductCERT開(kāi)發(fā)。這個(gè)團(tuán)隊(duì)的工作是在早期發(fā)現(xiàn)西門子產(chǎn)品的安全漏洞并迅速提供解決方案。 

通用測(cè)試工具？

SiESTA在2014年正式投入使用。當(dāng)時(shí)，“心臟出血（Heartbleed）”占據(jù)了新聞?lì)^條�！靶呐K出血”是存在于開(kāi)源數(shù)據(jù)庫(kù)OpenSSL中的安全漏洞，而西門子使用OpenSSL來(lái)保證機(jī)器與生產(chǎn)設(shè)施之間的通訊。為找出受此漏洞影響的產(chǎn)品，ProductCERT開(kāi)發(fā)了一個(gè)測(cè)試程序并將其發(fā)送給西門子各開(kāi)發(fā)部門。借助這個(gè)程序，西門子可以確定受影響的產(chǎn)品并在短時(shí)間內(nèi)采取對(duì)策�！皬哪菚r(shí)起，我們就有了一個(gè)想法，要開(kāi)發(fā)一種可應(yīng)用于多種西門子產(chǎn)品及其軟件環(huán)境中的用戶友好型測(cè)試設(shè)備。它要能夠輕松快速地完成這樣的測(cè)試工作。”西門子ProductCERT成員Tobias Limmer回憶道。從2016年起，西門子各業(yè)務(wù)部的安全部門就一直在使用SiESTA�，F(xiàn)在，它也以服務(wù)的形式被提供給終端客戶。 

SiESTA包含大量常見(jiàn)安全工具。它們被整合到一個(gè)便捷的用戶界面中，可以根據(jù)需要進(jìn)行更新和擴(kuò)展。Kali Linux是SiESTA使用的操作系統(tǒng)之一。它提供了多種安全測(cè)試工具。SiESTA也支持許多常見(jiàn)商業(yè)工具。這讓西門子測(cè)試部門能夠知道當(dāng)攻擊者試圖從外部入侵系統(tǒng)時(shí)他們會(huì)看到什么。 

這些工具可以識(shí)別“心臟出血”、“幽靈（Ghost）”、“想哭（Wannacry）”和“NotPetya”等漏洞。SiESTA還可以發(fā)現(xiàn)全新的漏洞。它利用模糊測(cè)試將目標(biāo)明確的無(wú)效信息發(fā)送給系統(tǒng)并查看受試設(shè)備的行為。當(dāng)產(chǎn)品推出新版本時(shí)，SiESTA則可以利用負(fù)載測(cè)試來(lái)檢測(cè)產(chǎn)品在高網(wǎng)絡(luò)負(fù)載下能否正確運(yùn)行。在工業(yè)網(wǎng)絡(luò)安全評(píng)估等其他場(chǎng)景中，SiESTA的網(wǎng)絡(luò)掃描功能可以判斷可供使用的設(shè)備和軟件的版本、它們是否被安全配置以及是否存在已知安全漏洞等。 

快速瀏覽

SiESTA還可以檢查產(chǎn)品是否安裝了最新的安全更新，以及是否執(zhí)行了所有必要的強(qiáng)化措施。如果需要，它還可以實(shí)施根據(jù)工業(yè)環(huán)境特別調(diào)整過(guò)的輕量級(jí)測(cè)試。這項(xiàng)服務(wù)在西門子內(nèi)部已使用多年，現(xiàn)在也被提供給客戶。它使安全我能夠確保其系統(tǒng)能夠抵御攻擊并符合國(guó)際安全標(biāo)準(zhǔn)。 

最后，除常見(jiàn)安全工具外，SiESTA還提供專門為西門子產(chǎn)品設(shè)計(jì)的測(cè)試。這并不奇怪。西門子的產(chǎn)品經(jīng)理和安全團(tuán)隊(duì)通常會(huì)在產(chǎn)品上市前事先查找漏洞。這不僅讓產(chǎn)品經(jīng)理能夠快速開(kāi)發(fā)和測(cè)試軟件補(bǔ)丁，還使他們能夠確保補(bǔ)丁可以切實(shí)解決問(wèn)題。這種測(cè)試讓舊版本的西門子產(chǎn)品中的缺陷能夠被快速查出并消除。 

根據(jù)所選測(cè)試程序的范圍，僅需幾分鐘或幾小時(shí)，安全平臺(tái)就可以提供一份易讀的報(bào)告，上面以紅綠燈的形式指出了可能的安全漏洞，讓問(wèn)題一目了然。報(bào)告還重點(diǎn)給出了建議網(wǎng)絡(luò)運(yùn)營(yíng)商采取的行動(dòng)�！袄�用SiESTA，我們?yōu)楫a(chǎn)品測(cè)試部門提供了一種簡(jiǎn)單而靈活的方法，幫助他們將基本的安全測(cè)試融入他們熟悉的測(cè)試過(guò)程中�！盠ukas說(shuō)，“可以說(shuō)，這是一把網(wǎng)絡(luò)與信息安全的瑞士我�！�