2023年上半年,美國網路安全和基礎設施安全局(CISA)披露了670個影響工業控制系統(ICS)和其他運營技術(OT)產品的漏洞。SynSaber和ICS諮詢專案的聯合分析為我們提供了深入了解這些數字背後的洞察力。
根據分析,CISA在2023年上半年釋出了185份ICS公告,較2022年上半年的205份略有下降。這些公告所涵蓋的漏洞數量也下降了1.6%。漏洞的性質分布顯示,40%以上的缺陷影響軟體,26%影響韌體。原始裝置製造商報告了這些漏洞中的超過50%,安全供應商占28%,獨立研究人員占9%。
尤其令人關注的是,關鍵的製造業和能源部門是最有可能受到2023年上半年報告的CVE影響的基礎設施部門。在評估等級方面,88個漏洞被評為“關鍵”,349個被評為“高嚴重性”。其中一些漏洞需要對目標系統的本地/物理訪問和使用者互動,163個則需要某種形式的使用者互動。
報告的34%的漏洞沒有供應商提供的補丁或補救措施,高於2022年上半年的13%,但與2022年下半年大致相同。2023年上半年的增長部分歸功於西門子諮詢,涵蓋了影響Linux核心的100多個CVE,這家工業巨頭尚未釋出補丁。此外,許多漏洞影響不受支援的產品,因此不會收到補丁。
SynSaber聯合創始人兼執行長Jori VanAntwerp提醒:“每個OT環境都是獨一無二的,專為特定任務而構建。”他強調,漏洞剝削和影響的可能性將因組織而異。當前的漏洞報告和修補挑戰強調了資產所有者的角色,他們需要根據自己的環境優先考慮減輕漏洞的時間和方式。這份報告提供了一個重要的快照,幫助我們了解工業控制系統的當前安全狀況,並提醒我們持續努力以確保我們的基礎設施保持安全和穩定。
Comment