通過 ICS 公告報告的 CVE 數量每年都在增加,根據 SynSaber。
越來越多的漏洞凸顯了為保護對一個國家的能源、製造、水和運輸基礎設施至關重要的 ICS 系統的持續努力。對監管的關注也越來越多,這意味著關鍵基礎設施中的運營商在分析、緩解和報告新的和現有的漏洞方面承受著更大的壓力
“報告的 ICS 漏洞數量呈指數級增長,在 ICS/OT 生態系統中造成更多的警覺疲勞和潛在的冷漠,”SynSaber 的聯合創始人兼首席執行官 Jori VanAntwerp 說。 “這份報告強調了製造商、CISA、研究人員和供應商在披露漏洞方面所做的出色工作,同時認識到需要圍繞這些 CVE 提供更多背景信息,以確定應該修補和補救哪些內容,以保護我們的國家安全和基礎設施。”
從 2020 年開始的三年期間,令人擔憂的是,報告的 CVE 中有 21.2% 目前沒有可用的補丁或補救措施。自 2020 年以來發布的所有 CVE 中,平均有四分之一存在要求用戶交互才能利用漏洞的問題(2020 年為 22%,2021 年為 35%,2022 年為 29%)。
“重要的是要記住,不能簡單地給 ICS 打補丁。除了運營准入門檻外,更新工業系統還面臨許多實際挑戰。ICS 不僅要更新軟件組件,還要面臨設備固件和架構方面的挑戰可能涉及更新整個協議,”SynSaber 的聯合創始人兼首席技術官 Ron Fabela 說。 “每個人都有一定程度的風險,在確定活動的優先級時應考慮這些風險。例如,升級設備固件可能會帶來‘變磚’系統的重大風險,這可能很難恢復。”
完整報告可從 SynSaber 網站獲取。
圖片來源: Gorodenkoff/Shutterstock