五分之一的工业控制系统错误没有可用的补丁

根据一份报告数据，在过去三年中，已发布的工业控制系统 (ICS) 漏洞数量增长了近 70%，其中超过五分之一仍未被制造商修补。

这家安全供应商分析了美国网络安全和基础设施安全局 ( CISA ) 在 2020 年 1 月 1 日至 2022 年 12 月 31 日期间发布的公告，以了解工厂所有者面临的风险有多严重。

它指出，在 2020 年至 2021 年间，CISA 报告的 ICS 咨询数量增加了 67%，次年进一步增加了 2%。

报告认为，CVE 的增加本身并不是一件坏事，因为它可能表明产品安全团队正在增加他们的内部报告和向社区公开披露漏洞。

然而，缺乏供应商补丁可能会加剧交通和公用事业等关键基础设施领域的工业资产所有者的网络风险。

即使它们可用，由于对系统正常运行时间的要求和对遗留软件兼容性的担忧，这些环境中的安全更新也并不总是容易应用。

重要的是要记住，不能简单地修补 ICS。除了运营准入门槛外，更新工业系统还面临许多实际挑战。

ICS 不仅要更新软件组件，还面临可能涉及更新整个协议的设备固件和架构挑战。

每项活动都有一定程度的风险，在确定活动的优先级时应予以考虑。例如，升级设备固件可能会带来“变砖”系统的重大风险，这可能很难恢复。

然而，虽然在过去三年报告的 CVE 中有 21% 目前没有可用的补丁，但也应该指出，并非所有漏洞都可以轻易利用。

在此期间发布的平均约四分之一的 CVE 需要用户交互才能利用。

由于工业控制系统操作和架构的性质，与企业 IT 相比，网络可访问性和潜在用户交互的发生概率都较低。

也就是说，系统漏洞利用并不是威胁行为者给资产所有者带来麻烦的唯一方式。

鉴于工业内置安全性的性质，或缺乏这种安全性，访问工业网络就等于控制。攻击过程并不经常需要利用漏洞。

工业 CVE 回顾：2020-2022

SANS 调查：2022年及以后的OT/ICS网络安全

运营技术 (OT) 是通过直接监测和/或控制工业设备、资产、流程和事件来检测或引起变化的硬件和软件。

运营技术 (OT)和工业控制系统 (ICS) 安全是一个不断变化和发展的领域，需要不断调整防御策略应对新的挑战和威胁；同时保持设施运营的安全性和可靠性。该调查重点是所有行业的 OT/ICS 捍卫者如何应对这些挑战，突出关键领域以帮助保护关键基础设施向前发展。

原文始发于微信公众号（网络研究院）：五分之一的工业控制系统错误没有可用的补丁