據(jù)工業(yè)資產(chǎn)和網(wǎng)絡(luò)監(jiān)控公司 SynSaber 稱(chēng)，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 在 2023 年上半年披露了 670 個(gè)影響工業(yè)控制系統(tǒng) (ICS) 和其他運(yùn)營(yíng)技術(shù) (OT) 產(chǎn)品的漏洞。

SynSaber與ICS Advisory Project合作進(jìn)行的分析顯示，CISA 在 2023 年上半年發(fā)布了 185 條 ICS 通報(bào)，低于 2022 年上半年的 205 條。上半年這些通報(bào)中涵蓋的漏洞數(shù)量下降了 1.6% 2023 年與 2022 年上半年相比。 

超過(guò) 40% 的缺陷影響軟件，26% 影響固件。OEM 繼續(xù)報(bào)告大多數(shù)此類(lèi)漏洞（超過(guò) 50%），其次是安全供應(yīng)商 (28%) 和獨(dú)立研究人員 (9%)。 

關(guān)鍵制造業(yè)和能源是最有可能受到 2023 年上半年報(bào)告的 CVE 影響的關(guān)鍵基礎(chǔ)設(shè)施部門(mén)。 

圖片

在 2023 年上半年披露的 CVE 中，88 個(gè)被評(píng)為“嚴(yán)重”，349 個(gè)被評(píng)為“高嚴(yán)重性”。超過(guò) 100 個(gè)缺陷需要對(duì)目標(biāo)系統(tǒng)進(jìn)行本地/物理訪問(wèn)和用戶交互，其中 163 個(gè)缺陷需要某種類(lèi)型的用戶交互，無(wú)論網(wǎng)絡(luò)可用性如何。 

所報(bào)告的漏洞中有 34% 沒(méi)有供應(yīng)商提供的補(bǔ)丁或補(bǔ)救措施，高于 2022 年上半年的 13%，但與 2022 年下半年大致相同。 

2023 年上半年的增長(zhǎng)部分歸因于西門(mén)子的一份公告，該公告涵蓋了影響 Linux 內(nèi)核的 100 多個(gè) CVE，而該工業(yè)巨頭尚未發(fā)布這些補(bǔ)丁。此外，許多無(wú)法獲得補(bǔ)丁的漏洞會(huì)影響不受支持的產(chǎn)品。 

SynSaber 報(bào)告還提供了可以幫助組織根據(jù)各種因素對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序的信息。 

SynSaber 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Jori VanAntwerp 表示：“每個(gè) OT 環(huán)境都是獨(dú)一無(wú)二的，并且是專(zhuān)門(mén)為特定任務(wù)而構(gòu)建的。” “因此，每個(gè)組織受到利用和影響的可能性都有很大差異。有一點(diǎn)是肯定的：報(bào)告的 CVE 數(shù)量可能會(huì)隨著時(shí)間的推移繼續(xù)增加，或者至少保持穩(wěn)定。我們希望這項(xiàng)研究能夠幫助資產(chǎn)所有者根據(jù)自己的環(huán)境確定何時(shí)以及如何減輕漏洞的優(yōu)先順序?！?/p>