网络安全局报告：工业控制系统安全漏洞概述

关键要点

• 在2022年上半年，网络安全和基础设施安全局（CISA）披露了681个影响工业控制系统（ICS）产品的安全漏洞。
• 这些漏洞的数量略高于去年同期的数据。
• 近13%的ICS漏洞尚未得到修复，且可能永远得不到解决。
• 22%的漏洞被评为严重级别，42%的漏洞被评为高危。
• 超过50%的漏洞需要通过软件补丁修复，其余则需要进行固件或协议更新。

在2022年上半年，网络安全和基础设施安全局（CISA）披露了681个涉及的安全漏洞，这个数字相比于去年同期略有增加。根据的报道，这些漏洞的情况引起了研究人员的关注。

SynSaber的研究人员指出，近13%的ICS漏洞至今尚未修复，并且可能永远不会修复。这些漏洞的严重性评估结果显示，22%的漏洞被评分为“关键”，而42%的漏洞则被评为“高危”。然而，这些严重性评分可能存在误导性，企业被敦促在优先处理补丁时考虑其环境中的可能利用情况。

以下是漏洞修复需求的概述：

漏洞类别 | 修复需求 | 比例
—|—|—
软件补丁 | 需要通过软件更新解决 | 超过50%
固件更新 | 需要进行固件更新 | 其余部分
协议更新 | 需要进行协议更新 | 少量
紧急补救 | 应及时处理的漏洞 | 近40%

SynSaber表示：“仅仅关注报告的CVE（公共漏洞和暴露）数量可能会让资产拥有者感到不知所措，但是当我们理解哪些CVE是相关且可操作的，哪些可能会持续成为‘永久性漏洞’时，整体数字似乎不再那么令人望而生畏。”