根據工業網路安全公司 SynSaber 的一份新報告,在工業控制系統 (ICS) 中發現的漏洞數量持續增加,其中許多漏洞的嚴重性等級為“嚴重”或“高”。
該報告比較了 CISA 在 2020 年和 2022 年期間發佈的工控和 醫療工控數量。評級為「嚴重」的漏洞數量增長顯著,從 2021 年的 186 個增加到 2022 年的近 300 個。根據其 CVSS 評分,總共有近 1,000 個漏洞為「嚴重」或「高嚴重性」。必須注意的是CVSS 分數在工控環境下可能與一般的IT環境狀況不同,並且不建議單獨使用CVSS來設定漏洞修補的優先順序。
Synsaber報告顯示,西門子在工控漏洞數量凸出。 2022 年發現的許多安全性漏洞影響了西門子的產品,這家德國工業巨頭還自報了最多的漏洞,遠遠超過其他供應商。
西門子的產品安全團隊在 2022 年報告了 544 個漏洞,高於上一年的 230 個。第二個供應商是日立,有 64 個漏洞。SynSaber 指出,西門子產品安全團隊繼續提高報告頻率,同比增長近 3 倍。雖然與其他產品相比,這確實增加了西門子產品線的已知 CVE 的數量,但這不應被視為西門子產品的安全性較低。相反,成熟並持續的漏洞檢查是工控設備廠應該努力實現的目標。。
西門子通常每個月都會解決數十個漏洞,但其中許多是來自於協力廠商的零組件。
雖然去年發現的漏洞數量很多,但近三分之一的漏洞需要使用者連通才能成功利用,大約四分之一的漏洞需要對目標系統進行本地或實體存取。然而,值得注意的是,與 2021 年相比,需要使用者連通和本地訪問的漏洞比例有所下降。
從過去三年的資料來看,一個令人擔憂的方面是「永遠存在的漏洞」,這些漏洞可能永遠不會得到補丁。永遠存在的漏洞的數量從 2021 年的 14% 增加到 2022 年的 28%。
ICS 漏洞會影響軟體、韌體或通訊協定。在 2020 年至 2022 年期間,在這些類別中發現的問題百分比一直相當穩定,這三年平均而言,軟體占 56%,韌體占 36%,通訊協定占 8%。