让我们回顾一下2021年上半年的情况。2021年前6个月共暴露出影响76家供应商产品的637个ICS漏洞,其中超过超过70%的漏洞被指定为严重或高严重性等级。相比之下,2020年下半年仅披露了449个漏洞。Claroty的一项分析显示,2021年上半年披露的绝大多数安全漏洞无需特殊条件即可被利用,四分之三不需要任何特权,三分之二可以在没有用户交互的情况下被利用。该公司表示,61%的漏洞可被远程利用,其中65%可用于拒绝服务(DoS)攻击,这对ICS的影响可能大于IT系统。超过80%的漏洞是由外部研究人员报告给供应商的。在报告2021年上半年披露的缺陷的研究人员中,有42名是新研究人员。受影响最大的供应商是西门子(146个漏洞)、施耐德电气(65个)、罗克韦尔自动化(35个)、万可(23个)和研华(22个)。值得注意的是,受影响的供应商名单还包括20家公司,其产品未受到去年披露的任何缺陷的影响。大多数安全漏洞会影响操作管理级别(历史数据库、OPC服务器)的产品,其次是基本控制(PLC、RTU)和监控(HMI、SCADA)级别。2022年上半年,SynSaber统计了CISA披露的681个漏洞,略高于2021年上半年的637个漏洞。值得注意的是,CISA并未对所有公开披露的ICS漏洞发布公告,这意味着实际数量1月至6月间披露的问题数量本可以更高。在681个CVE中,大约13%没有补丁并且可能永远无法修复——这些被称为“永久性漏洞”。然而,在某些情况下,即使漏洞确实有补丁,由于SynSaber所描述的“复杂的互操作性和保修限制”,应用它可能不是一项简单的任务。组织可能需要等待受影响的OEM供应商批准补丁,并且他们需要在采取任何步骤之前识别运营风险。CISA在2022年上半年披露的漏洞中,超过22%的漏洞根据其CVSS评分被评为严重严重程度,42%的漏洞严重程度为高。然而,正如专家经常强调的那样,在ICS的情况下,CVSS分数可能会产生误导。SynSaber建议组织查看某些指标以确定是否可以在其环境中实际利用漏洞。例如,如果利用需要用户交互、本地/物理访问或目标系统上的提升权限,那么它就不太可能被利用。在这种特殊情况下,利用46个漏洞需要访问和用户交互,198个需要用户交互。在681个ICS漏洞中,一半以上需要软件补丁,34%需要固件更新,12%需要协议更新。SynSaber的一项评估表明,大约40%的漏洞应立即解决,8%的漏洞不容易解决,可能需要补偿控制以防止利用。“仅查看报告的CVE的绝对数量可能会让资产所有者不知所措,但当我们查看相关且可操作的CVE的百分比,以及哪些将仍然是‘永远的错误’时,这些数字似乎不那么令人生畏,至少暂时的,”SynSaber在其报告中说。
