西门子为什么发布这么多安全通报?

西门子网络与信息安全

 

西门子股份公司(Siemens AG)每月都会发布关于西门子产品安全漏洞的“安全通报”。

报告的漏洞数量逐年增加。但这并不意味着产品的安全性不断降低——恰恰相反,随着行

业产品的持续数字化,预计会出现更多漏洞。 



        一家传统的老水泥厂准备进行数字化转型。石灰石与氧化铝、粒化高炉矿渣、石膏或铝土矿在水泥窑中一起燃烧,研磨后通过传送带装入袋子,最后包装并放置在托板上。虽然水泥厂运行良好,但业主们正计划以更现代化的工厂取而代之,这种新工厂不仅节能,几乎不需要维护,而且可以实现各类水泥混合物生产的自动化。

 

        那么新工厂使用什么控制系统呢?当有人建议使用西门子的控件时,运营商会查看西门子的安全网站,并意识到西门子会定期发布漏洞和补丁。而且,漏洞和补丁并未变少,反而随着时间的推移变得越来更多。这就是运营商们担心西门子的产品可能容易受到网络攻击的原因。

漏洞处理是赢得客户信任的关键

        事实恰恰相反。从发电厂到铁路运输再到医疗技术,数字技术的互联程度越高,定期更新操作系统和应用程序以保持高级别的安全性就越重要。与智能手机和个人电脑类似——我们希望确保其安全性,所以定期更新软件。同样,处理软件漏洞也是产业成功实现数字化的重要前提。

“随着产业数字化的推进,寻找漏洞成为一种必然趋 势。这就是为什么专业的漏洞处理是赢得客户信任的关 键。”
西门子网络与信息安全防御部门负责人 Karen Gaines

        结果:2020 年,西门子报告了 100 多个经过修复的漏洞,其中包括针对约 41,000 种产品的解决方案,而且这些数字呈逐年上升趋势。虽然西门子已超过了其他的大型工业公司,但绝不是记录保持者。相比之下,主要的软件供应商,虽然他们的产品组合远少于西门子,并且拥有出色的安全开发流程,在同一时期内就报告了 1,000 多个漏洞。这表明,在数字化和网络与信息安全工作加强的同时,已知漏洞的数量也随之增加。西门子网络与信息安全防御部门负责人 Karen Gaines 于 2020 年加入西门子,此前曾任职于微软和亚马逊云科技公司(AWS),她证实了这一点:“随着产业数字化的推进,寻找漏洞成为一种必然趋势。这就是为什么专业的漏洞处理是赢得客户信任的关键。”

没有永恒的安全

        在西门子,ProductCERT(产品计算机应急响应小组)负责接收、调查、对内协调和公开报告与西门子产品相关的安全问题。在每月的第二个星期二,ProductCERT 通过所谓的“西门子安全通报”将潜在问题和相应的解决方案告知西门子的客户。安全通报日就是微软通常发布漏洞补丁的日期,这样的安排使得 IT 经理们能够做到“一石二鸟”。事实上,根本没有百分之百安全这回事。尽管西门子产品未经全面检测就无法进入市场,但通过持续监测产品的整个生命周期,通常会发现新的漏洞。此外,攻击方式也在不断演变。昨天还安全的组件可能会在一夜之间难敌新型攻击。为此,西门子建立了一个全面流程来检测其产品中潜在的安全问题。由于数字化是当今所有产业创新的核心,这自然也意味着出现了越来越多的漏洞。

ProductCERT 与全球连接

        ProductCERT 不仅监控自家公司的产品,还监控第三方供应商提供的组件或西门子产品内置的开源软件应用程序——监控范围涉及整个供应链。通过这种方式,西门子不仅为其产品建立了端到端的保护,还建立了透明机制。西门子ProductCERT 的负责人 Klaus Lukas 表示:“我们的目标是尽早发现漏洞——也就是说最好在产品的早期开发阶段就发现漏洞。“这样,我们可以从一开始就确保产品有明确的安全性级别。”

        通过多次内部测试可以发现漏洞。西门子产品的测试方法多种多样,其中有一种叫做‘SiESTA’(西门子可扩展安全测试应用)的装置,可以直接连接到某个装置或服务器,用各种安全工具进行自动测试。此外,ProductCERT团队与世界各地的安全研究人员建立了密切联系,这些安全研究人员类别众多,有高校专家,也有 IT 安全供应商。最后,同样重要的是,该团队还接收来自客户、国内计算机应急响应小组(CERT)和西门子内部各部门的信息。 

自动化补丁管理


        ProductCERT 平均每天会收到一份报告,并对该报告进行审核评估。如需更新产品,该团队会验证产品更新的有效性。Lukas 表示:“随后,报告将于下一个‘安全通报日’发布。当然,在危急情况下,会立即发布通知。”

 

        虽然已知漏洞越来越多,似乎令人难以招架,但数字化为我们提供了解决方案。与传统软件系统类似,工业产品可以通过自动化来处理漏洞,提高安全性。如今,在某些情况下已经能够以机器可读的形式传输漏洞信息。然后,只需要将补丁应用到恰当的产品上即可完成漏洞处理。但 ProductCERT 的目标是无需任何进一步的人工干预就能自动部署补丁。Lukas说:“这样,客户就不必在补丁管理上花费更多时间,而且还会自动提高安全性。”

 

        在那一天到来之前,水泥厂运营商们将不得不处理定期收到的通报,并修复水泥厂的安全漏洞。但是当他们这样做的时候,就会意识到每天使用的产品都是新的。 

2021 年 10 月 28 日

Hubertus Breuer