工业系统发现更多漏洞，更大威胁

工业控制系统 (ICS) 面临的真正威胁在 2021 年变得更加清晰，因为在操作技术 (OT) 设备和管理这些设备的系统中发现的漏洞数量增加了一半以上，而勒索软件集团继续针对制造和关键基础设施。

根据工业网络安全公司 Claroty 上周发布的半年度报告，与上一年相比，2021 年报告的漏洞数量增加了 52%，达到近 1,440 个。此外，网络安全研究人员进行了扩展——在受其软件或固件安全漏洞影响的 82 家供应商中，有 21 家之前没有在其系统中报告过漏洞。Claroty 的报告称，近三分之二的已发现安全问题可以被远程利用。

Claroty 研究副总裁 Amir Preminger 表示，漏洞的增加——以及研究人员对先前探索过的供应商产品的尝试——表明人们对工业控制系统的兴趣更大。

报告的 ICS 漏洞在过去一年中增加了一半，内部发现的漏洞数量也在增加。资料来源：Claroty 半年度 ICS 风险和漏洞报告，2021 年 2 月“他们 [攻击者] 正试图学习并获得对工业控制系统的访问权限，而这些漏洞将成为他们的游乐场，”他说。“我们看到的许多漏洞都不需要很高的复杂性来利用，当你谈论 ICS 时，障碍非常低——你不必破解云的三层来利用这些漏洞。”

Colonial Pipeline Wake-up Call

II 和 OT 已成为网络安全政策制定者的重大关切，因为就其性质而言，它们将数字威胁转化为物理风险。例如，2021 年 5 月对石油运输公司 Colonial Pipeline 的 IT 系统的勒索软件攻击导致该公司关闭了石油和天然气的运输，导致天然气价格飙升和加油站短缺。

此外，网络安全研究人员发现工业控制系统越来越受到关注，因为攻击者在乌克兰战争前夕瞄准了操作技术。例如，2 月 26 日，美国网络安全和基础设施安全局 (CISA)警告说，俄罗斯攻击者在入侵乌克兰之前已经发布了重大攻击，使用两个擦除程序导致政府服务中断。

总体而言，对关键基础设施和工业控制系统的攻击变得更加普遍，因为越来越多的研究让攻击者对系统有了更深入的了解，而且网络犯罪计划——尤其是勒索软件——使得对操作系统的攻击变得有利可图，Dean Parsons，一位经过认证的 SANS 讲师和工业网络安全专家，在上周发布的 SANS 报告中写道。

“我们看到对手在攻击工业环境方面变得更加聪明，因为他们看到了更快的支付速度和更高的支付速度，”他说。“这些威胁不会消失，因为对手看到了他们的投资回报。”

因为攻击者也有更多的机会获得关于 OT 和 ICS 的研究，所以这种进入障碍实际上已经消失了。因此，根据 Claroty 报告，越来越多的工业控制系统、操作技术和工业物联网 (IIoT) 设备供应商在其产品中面临报告的漏洞。虽然工业控制技术的主要供应商西门子仍然是报告漏洞最多的供应商——2021 年下半年有 251 个漏洞——但下半年四分之一的供应商和上半年三分之一的供应商做到了在过去 12 个月内未发现漏洞。

“这些都是供应商在他们的产品中没有 CVE [已识别漏洞] 的很好的例子，”Claroty 的 Preminger 说，他们突然在显微镜下发现了他们的技术。这并不是因为它们没有漏洞。增加的原因是安全研究人员最终掌握了这项技术并能够进行研究。”

修补难题

2021 年下半年发现的 ICS 漏洞中只有 69% 可以完全修复，这凸显了工业控制系统和 OT 的另一个问题——更新作为关键基础设施一部分的软件和设备的困难。

“这些周期可能比传统的 IT 补丁管理花费的时间要长得多，这通常使缓解措施成为对防御者开放的唯一补救选择，”Claroty 在其报告中表示。“供应商和内部安全分析师和管理人员还必须优先跟踪报废产品以及更新可能具有挑战性或停机时间不可接受的产品中的漏洞。”

尽管漏洞正在增加，但它们并不是衡量制造商面临的风险的最佳方法，因为许多公司（例如西门子）正在主动发现问题并在攻击者利用它们之前将其关闭。更重要的是，公司了解攻击者正在采取的行动，无论是利用特定漏洞还是寻找其他攻击关键基础设施的方式，SANS 研究所的帕森斯说。

Parsons 说，ICS 和 OT 安全与 IT 安全有不同的考虑，它们不能以相同的方式处理。

“当然存在漏洞，但我们不应该关注漏洞，我们应该关注对手正在做什么，”他说。“我们需要更多特定于网络的可见性——否则，我们实际上对攻击者对工业控制系统所做的事情视而不见。可见性是领先于这些东西的关键。”

事实上，根据关键基础设施安全公司 Dragos 的一份报告，雇佣网络安全提供商的公司中有 86% 缺乏其运营技术网络的可见性，从而允许外部连接到他们的 OT 系统。这家网络安全提供商发现，Conti 和 LockBit 2.0 这两个组织广泛利用了工业公司缺乏可见性，占针对公司的勒索软件攻击的 51%。