CISA обнаружило 670 уязвимостей АСУ ТП в первой половине 2023 года: анализ
CISA выявила 670 уязвимостей ICS в первой половине 2023 года, но примерно треть из них не имеет исправлений или средств устранения от поставщика.
К
Флипборд
Реддит
Пинтерест
Электронная почта
По данным компании SynSaber, занимающейся мониторингом промышленных активов и сетей, Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выявило 670 уязвимостей, затрагивающих системы промышленного контроля (ICS) и другие продукты операционных технологий (OT) в первой половине 2023 года.
Анализ SynSaber, проведенный в сотрудничестве с ICS Advisory Project, показывает, что CISA опубликовало 185 рекомендаций по ICS в первой половине 2023 года по сравнению с 205 в первой половине 2022 года. Количество уязвимостей, охваченных этими рекомендациями, снизилось на 1,6% в первом полугодии. 2023 г. по сравнению с первым полугодием 2022 г.
Более 40% ошибок затрагивают программное обеспечение, а 26% — прошивку. OEM-производители продолжали сообщать о большинстве этих уязвимостей (более 50%), за ними следовали поставщики систем безопасности (28%) и независимые исследователи (9%).
Критически важные производства и энергетика являются критически важными инфраструктурными секторами, которые, скорее всего, пострадают от CVE, о котором сообщалось в первой половине 2023 года.
Из CVE, обнаруженных в первом полугодии 2023 года, 88 были оценены как «критические», а 349 — как «высокая серьезность». Более 100 уязвимостей требуют как локального/физического доступа к целевой системе, так и взаимодействия с пользователем, а 163 требуют определенного типа взаимодействия с пользователем, независимо от доступности сети.
Для 34% зарегистрированных уязвимостей нет исправлений или исправлений, доступных от поставщика, по сравнению с 13% в первой половине 2022 года, но примерно столько же, сколько и во второй половине 2022 года.
Увеличение в первом полугодии 2023 года частично связано с рекомендациями Siemens, которые охватывают более 100 CVE, влияющих на ядро Linux, для которых промышленный гигант еще не выпустил патчи. Кроме того, многие уязвимости, которые не будут исправлены, затрагивают неподдерживаемые продукты.
Отчет SynSabre также предоставляет информацию, которая может помочь организациям расставить приоритеты уязвимостей на основе различных факторов.
«Каждая OT-среда уникальна и специально создана для конкретной задачи», — сказал Джори ВанАнтверп, соучредитель и генеральный директор SynSaber. «В результате вероятность эксплуатации и воздействия будут сильно различаться для каждой организации. Одно можно сказать наверняка: число зарегистрированных CVE, вероятно, будет продолжать расти с течением времени или, по крайней мере, останется стабильным. Мы надеемся, что это исследование поможет владельцам активов расставить приоритеты, когда и как смягчать уязвимости в соответствии с их собственной средой».
Связанный: Подсчет уязвимостей АСУ ТП: изучение изменений в цифрах, сообщаемых охранными фирмами
Связанный: В 2022 году компания Siemens обнаружила рост числа уязвимостей в АСУ ТП: отчет
Эдуард Ковач (@EduardKovacs) — главный редактор SecurityWeek. Он проработал учителем информационных технологий в средней школе в течение двух лет, прежде чем начал карьеру в журналистике в качестве репортера новостей безопасности Softpedia. Эдуард имеет степень бакалавра промышленной информатики и степень магистра компьютерных технологий, применяемых в электротехнике.
Подпишитесь на брифинг по электронной почте SecurityWeek, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от экспертов отрасли.
Присоединяйтесь к экспертам по безопасности, которые обсуждают неиспользованный потенциал ZTNA как по снижению киберрисков, так и по расширению возможностей бизнеса.
Присоединяйтесь к вебинару Microsoft и Finite State, на котором будет представлена новая стратегия обеспечения безопасности цепочки поставок программного обеспечения.
Хотя квантовые атаки еще впереди, организации должны подумать о том, как защитить данные при передаче, когда шифрование больше не работает. (Мари Хаттар)
Точно так же, как профессиональная футбольная команда нуждается в координации, стратегии и способности адаптироваться для обеспечения победы на поле, хорошо продуманная стратегия кибербезопасности должна решать конкретные проблемы и угрозы (Мэтт Уилсон).