報告顯示:2022年西門子ICS漏洞數(shù)量暴漲
責編:gltian |2023-02-14 14:32:06根據(jù)工業(yè)網(wǎng)絡安全公司 SynSaber 的一份新報告,在工業(yè)控制系統(tǒng) (ICS) 中發(fā)現(xiàn)的漏洞數(shù)量持續(xù)增加,其中許多漏洞的嚴重性等級為“嚴重”或“高”。
該報告比較了 CISA 在 2020 年和 2022 年期間發(fā)布的 ICS 和 ICS 醫(yī)療咨詢數(shù)量。雖然 2021 年和 2022 年的咨詢數(shù)量大致相同,均為 350 個,但去年發(fā)現(xiàn)的漏洞數(shù)量達到 1,342 個,而 2021 年為 1,191 個前一年。
評級為“嚴重”的漏洞數(shù)量增長更為顯著,從 2021 年的 186 個增加到 2022 年的近 300 個。根據(jù)其 CVSS 評分,總共有近 1,000 個漏洞為“嚴重”或“高嚴重性”。
雖然CVSS 分數(shù)在 ICS 缺陷的情況下可能會產(chǎn)生誤導,并且不應單獨使用它們來確定修補程序的優(yōu)先級,但這些分數(shù)仍然可用于對滿足組織適用性標準的問題進行排名。
Synsaber 的報告顯示,西門子在 ICS 漏洞數(shù)量方面脫穎而出。不僅 2022 年發(fā)現(xiàn)的許多安全漏洞影響了西門子的產(chǎn)品,這家德國工業(yè)巨頭還自報了最多的漏洞,遠遠超過其他供應商。
西門子的產(chǎn)品安全團隊在 2022 年報告了 544 個漏洞,高于上一年的 230 個。第二個供應商是日立,有 64 個錯誤。
“西門子產(chǎn)品安全團隊繼續(xù)提高報告頻率,同比增長近 3 倍。雖然與其他產(chǎn)品相比,這確實增加了影響西門子產(chǎn)品線的已知 CVE 的數(shù)量,但這不應被視為西門子產(chǎn)品的安全性較低。相反,成熟且可重復的 OEM 自我報告流程是所有其他 OEM 應該努力實現(xiàn)的目標,”SynSaber 指出。
西門子通常每個月都會解決數(shù)十個漏洞,但其中許多會影響公司產(chǎn)品使用的 第三方組件。
雖然去年發(fā)現(xiàn)的漏洞數(shù)量很多,但近三分之一的漏洞需要用戶交互才能成功利用,大約四分之一需要對目標系統(tǒng)進行本地或物理訪問。然而,值得注意的是,與 2021 年相比,需要用戶交互和本地訪問的缺陷百分比有所下降。
從過去三年的數(shù)據(jù)來看,一個令人擔憂的方面是“永遠存在的漏洞”——這些漏洞可能永遠不會得到補丁——的數(shù)量從 2021 年的 14% 增加到 2022 年的 28%。
ICS 漏洞會影響軟件、固件或協(xié)議。在 2020 年至 2022 年期間,在這些類別中發(fā)現(xiàn)的問題百分比一直相當穩(wěn)定,軟件占 56%,固件占 36%,協(xié)議占 8%,這三年平均而言。
來源:E安全
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧