„Zranitelnosti se mohou objevit v každém softwaru. To je důvod, proč jsme vždy na pozoru před chybami zabezpečení – a jakmile je najdeme, podporujeme ty, kteří jsou zodpovědní za produkt, abychom našli řešení a informovali naše zákazníky. Pokud je vše vykonáno správně, vytváří to transparentnost a tím důvěru.“ říká Klaus Lukas, vedoucí oddělení kybernetické bezpečnosti Siemens ProductCERT, které odhaluje místa digitální zranitelnosti v produktech Siemens a stojí za vývojem řešení SiESTA.

SiESTA byla v Simensu poprvé použita už v roce 2014, kdy se objevily články o chybě „Heartbleed“. Heartbleed byl slabinou OpenSSL open source knihovny používané v Siemensu pro zabezpečení komunikace mezi stroji a výrobními zařízeními. Aby bylo možné zjistit, které produkty byly touto chybou ohroženy, byl vyvinut testovací program, který byl distribuován do různých vývojových oddělení společnosti Siemens. V důsledku toho bylo možné identifikovat zasažené produkty a v krátké době přijmout protiopatření. To vedlo k myšlence vyvinout uživatelsky přívětivé testovací zařízení, které by mohlo být použito v celé řadě produktů Siemens a jejich softwarových prostředích a které by mohlo rychle a snadno provádět takové testovací postupy.

Od roku 2016 pak byla SiESTA používána v bezpečnostních odděleních obchodních jednotek Siemens. Nyní je nově nabízena i jako služba koncovým zákazníkům. SiESTA obsahuje velké množství běžných bezpečnostních nástrojů, které jsou kombinovány v rámci jednoho snadno použitelného uživatelského rozhraní, které lze podle potřeby aktualizovat a rozšiřovat. Jeden z operačních systémů používaných platformou SiESTA je Kali Linux, který poskytuje řadu nástrojů pro testování bezpečnosti. SiESTA ale podporuje také řadu dalších komerčních bezpečnostních nástrojů, což umožňuje testovacím oddělením zjistit, co by útočník viděl při pokusu proniknout do systému zvenčí. Takovéto nástroje umožňují identifikovat zranitelnosti, jako jsou Heartbleed, Ghost, Wannacry, NotPetya a mnoho dalších.

SiESTA je ale také schopna najít zcela nové chyby – díky takzvaným fuzzing testům, které posílají cílené, neplatné vstupy do systémů a ověřují chování testovaného zařízení. Nové verze produktů jsou také kontrolovány pomocí zátěžových testů, aby se ověřilo, zda fungují správně i při vysokém zatížení sítě. V jiných případech použití, jako je např. hodnocení bezpečnosti průmyslových sítí, síťová prověřování určují, která zařízení a verze softwaru jsou k dispozici, zda jsou bezpečně nakonfigurovány a zda existují známé chyby zabezpečení.

SiESTA může také kontrolovat, zda je na výrobcích instalována nejnovější aktualizace zabezpečení a zda byla provedena všechna nezbytná opatření. V případě potřeby využívá odlehčené testy, které jsou speciálně přizpůsobeny průmyslovému prostředí.