據(jù)工業(yè)資產(chǎn)和網(wǎng)絡(luò)監(jiān)控公司 SynSaber 稱，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 在 2023 年上半年披露了 670 個影響工業(yè)控制系統(tǒng) (ICS) 和其他運營技術(shù) (OT) 產(chǎn)品的漏洞。

SynSaber與ICS Advisory Project合作進行的分析顯示，CISA 在 2023 年上半年發(fā)布了 185 條 ICS 通報，低于 2022 年上半年的 205 條。上半年這些通報中涵蓋的漏洞數(shù)量下降了 1.6% 2023 年與 2022 年上半年相比。 

超過 40% 的缺陷影響軟件，26% 影響固件。OEM 繼續(xù)報告大多數(shù)此類漏洞（超過 50%），其次是安全供應(yīng)商 (28%) 和獨立研究人員 (9%)。 

關(guān)鍵制造業(yè)和能源是最有可能受到 2023 年上半年報告的 CVE 影響的關(guān)鍵基礎(chǔ)設(shè)施部門。 

圖片

在 2023 年上半年披露的 CVE 中，88 個被評為“嚴(yán)重”，349 個被評為“高嚴(yán)重性”。超過 100 個缺陷需要對目標(biāo)系統(tǒng)進行本地/物理訪問和用戶交互，其中 163 個缺陷需要某種類型的用戶交互，無論網(wǎng)絡(luò)可用性如何。 

所報告的漏洞中有 34% 沒有供應(yīng)商提供的補丁或補救措施，高于 2022 年上半年的 13%，但與 2022 年下半年大致相同。 

2023 年上半年的增長部分歸因于西門子的一份公告，該公告涵蓋了影響 Linux 內(nèi)核的 100 多個 CVE，而該工業(yè)巨頭尚未發(fā)布這些補丁。此外，許多無法獲得補丁的漏洞會影響不受支持的產(chǎn)品。 

SynSaber 報告還提供了可以幫助組織根據(jù)各種因素對漏洞進行優(yōu)先級排序的信息。 

SynSaber 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Jori VanAntwerp 表示：“每個 OT 環(huán)境都是獨一無二的，并且是專門為特定任務(wù)而構(gòu)建的?！?nbsp;“因此，每個組織受到利用和影響的可能性都有很大差異。有一點是肯定的：報告的 CVE 數(shù)量可能會隨著時間的推移繼續(xù)增加，或者至少保持穩(wěn)定。我們希望這項研究能夠幫助資產(chǎn)所有者根據(jù)自己的環(huán)境確定何時以及如何減輕漏洞的優(yōu)先順序?！?/p>