上周Joel Langill和我一同参加了峰会。 本文将总结我们关于西门子公司在峰会上的发言以及其针对网络安全的态度的看法。将分为两部分。首先呈现第一部分。
风险评估。西门子知道什么是风险评估么?
由西门子工业安全服务主管Stefan Woronka和Tyler Williams 早期提出的:"如何确定风险工业控制系统",并不能解释风险评估。首先。这个作者推翻了风险评估的基本概念,他是这样陈述的:“风险评估,每个都不同,何用之有?”
后来通过幻灯片讨论了风险分析系统,然而那些内容是来源于弱点分析报告。
风险评估和弱点分析风马牛不相及,我们希望所有相关人员都懂得这个道理。
作为本次大会的开幕式,这并没有使我们对西门子公司所谓“计算机网络安全新信仰”感到乐观。风险评估是衡量计算机网络安全水准的一个重要指标。
等级:D
标准化,西门子关心这些么?
上述讨论也包括针对于标准化群组和群组中的个人的一些比较尖锐的攻击。
引语:“标准组别中的成员工作是将另一件事情输入到你的商业人际关系网中”。
虽然可以很轻视地将标准化操作视为“职业助推工作”,但事实上标准化操作帮助整个工业体系更好地适应计算机网络安全平台。标准小组的参与工作是不领情的,难以接受的工作,志愿者应该被鼓励,而不是被嘲笑。
这就是西门子针对标准的方案么?我怀疑这是他们全部团体对于标准化的政策,但是这个关于标准化的讨论毫无疑问不够充分。
等级:D
病毒传播的气隙。西门子恰好在研究这个。
Stefan Woronka’s 的陈述如下:
“忘记气隙的神话-完全隔离的控制系统已经是历史了。”这是整个讲话的精华所在,并且这段话的内容,恰好在监测控制和数据采集安全博客的上一篇文章中广泛的讨论过。
当天晚些时候,JOEL和我陈述了“病毒如何传播”,很清楚的说明了传播路径有很多种,并且不需要网络连接也可以达到。
西门子对于气隙有这正确的认识,因此我们在这里给予他们一个比较高的评价。但是他们仍然丢失了半个等级,因为他们的安全顾问仍然认为气隙问题已经被解决了。
等级:B+
西门子漏洞披露的政策和程序
a.没有做到及时披露
Ken Keiser, Sr,西门子市场部经理指出了过去几年中西门子公司所面临的缺点和问题,其中包括了病毒,S7-1200 可编程逻辑控制器漏洞,和对应的补丁。
遗憾的是,这次谈话并没有提及WinCC漏洞,这个漏洞在本次峰会结束后的第二天被公布了。另外,也没有涉及到S7-300和S7-400密码安全漏洞。
西门子知道本次会议所提及的所有漏洞。然而他们没有第一时间通知那些用户,这表明,尽管他们去年出现了很多难以置信的问题,然后他们现有的漏洞揭露政策和程序仍然很不健全。
b.新“安全中心”设计
西门子确实承认了他们要提升他们与终端用户和积分电路的交流。为了达到这个目的,他们在全球很多地区创造了所谓安全枢纽,包括在美国建立一个专门的枢纽。
那些枢纽的目的在于更好的在西门子,CERT认证,类似于Byres安全的安全调查者和SCADA黑客还有终端用户之间实现安全措施。这种新途径的细节不久将会发布。
等级:F. 对于现有的方案,当新的枢纽和新的交流政策出现时,有希望达到C等级或者更高。
本文的第二部分,将继续综述我们对西门子公司的评价。