資安業者 Forescout 最新報告指出,2025 年工業控制系統(ICS)安全通報數量首度突破 500 件(達 508 件),漏洞嚴重程度也持續攀升。
漏洞數量與嚴重性雙創新高
Forescout 在《2026年ICS網路資安:漏洞與前進之路》報告中指出,
去年共發布 2,155 個 CVE 漏洞,分布於 508 個 ICS 安全通報中。相較於 2011 年僅有 67 個通報、103 個 CVE,成長幅度顯著。
漏洞嚴重性評分也持續上升。平均 CVSS 評分從 2010 年的 6.44 分,在 2024 年和 2025 年已攀升至 8.0 分以上。
製造業與能源業首當其衝
去年受影響最嚴重的資產類型依序為:
- Purdue Level 1 設備(如現場控制器、RTU、PLC 和 IED)
- Purdue Level 3 作業系統(如 MES、PLM、EMS 等)
- Purdue Level 2 控制系統(如 DCS、SCADA 和 BMS)
- 工業網路基礎設施(如路由器和交換器)
在產業別方面,關鍵製造業和能源業受影響最嚴重,分居前兩位。運輸業從前一年躍升三個名次至第三位,醫療保健業則上升四個名次至第四位。
CISA 通報涵蓋率大幅下滑
對營運技術(OT)與工控系統業者而言,更令人憂心的是威脅能見度出現顯著落差。
自 2010 年 ICS 通報計畫(ICSA)啟動以來,CISA/ICS-CERT 一直是該領域漏洞資訊的權威來源。然而,根據開源 ICS 通報專案統計,越來越多漏洞未獲 CISA 發布對應的 ICSA 通報。
Forescout 指出,CISA 於 2023 年 1 月 10 日宣布停止發布西門子產品相關通報的更新,改將使用者導向西門子 ProductCERT 取得最新資訊。然而,這個問題不僅限於西門子,也不只是更新的問題。
根據 ICS 通報專案數據,去年僅 22% 的漏洞有 CISA 發布的對應 ICSA 通報,相較於 2024 年的 58% 和 2023 年的 40%,呈現大幅下滑。2025 年共有 134 家廠商的漏洞未獲 CISA 發布對應通報,顯示有大量 OT/ICS 風險未被 ICSA 追蹤。
值得注意的是,未獲 ICSA 通報的漏洞同樣重要。2025 年這類漏洞中,61% 屬於高危或嚴重等級,主要影響製造業和能源業,與 CISA 追蹤的漏洞影響範圍一致。
呼籲多方協作強化漏洞管理
面對這些挑戰,Forescout 呼籲結合「監管壓力、產業協作和廠商責任」來改善 OT/ICS 環境的漏洞管理。
報告建議採取以下措施:
- 提升修補程式時程的透明度
- 投入專責資源進行漏洞管理
- 建立更強的激勵機制,促進快速回應
- 培養主動式資安文化,而非被動修補
這些措施將加速產業的漏洞處理流程,為廠商和資產擁有者帶來實質效益。
本文轉載自 InfosecurityMagazine。