自2010年发生Stuxnet病毒攻击伊朗核电厂之后,工业控制系统(ICS)遭披露的弱点,开始有逐年倍增的趋势,近期在智能制造、智能医疗的转型升级潮流中,OT安全议题更是屡屡成为如今安全领域关注重点。以今年1月为例,工控网络安全商SynSaber公布产业CVE关注报告,根据的资料,是2020到2022年间,美网络安全暨基础设施安全局(CISA)的ICS漏洞通告,以及CVE漏洞资讯,再度突显这领域的安全风险。
结果显示,单就ICS漏洞通告而言,CISA在2020年发布211次ICS漏洞通告,2021年为353次,2022年则是361次。其中,在2020到2021年之间的增长幅度最大,达到67.3%,这显示,CISA对ICS漏洞曝险问题示警,趋于积极主动。
若是以ICS的CVE漏洞数量而言,2020年披露550个CVE漏洞,2021年有1191个,2022年有1342个。SynSaber指出,随着工控安全受市场重视,以及工控安全产业的增长,这也确实导致CVE漏洞通报数量不断增加。
从SynSaber上述报告以及他们最新的2022下半ICS漏洞报告来看,我们归纳出4个重点。
首先,在漏洞修补态势上,以2022年下半披露的CVE漏洞而言,有35%目前供应商尚未提供修补或补救的缓解措施,比例高于2022上半(13%)。
特别的是,SynSaber提到有些漏洞虽然已公开披露,却可能永远都没有可用的修补,因此它们被称为永远存在漏洞(Forever Day Vulnerabilities)。而这三年下来,有21.2%不会有修补程序。
这样的结果可能比大家想象的还高,主要原因在于,许多通报的CVE漏洞,是存在于老旧、不再支持的系统。因此,当新的漏洞报告披露时,设备制造商已不再需要针对该漏洞发布修补。
第二,从漏洞存在的位置来看,SynSaber主要列出了三大类,包括软件、固件、协议。在近三年的数量来看,软件漏洞的数量最多,有1,732个,固件漏洞有1,111个,协议漏洞则有240个。
SynSaber指出,并非所有漏洞都是平等的,这是因为软件漏洞的修补较为容易,只要更新特定应用程序,不过,有超过4成数量是固件与协议漏洞,其中,固件漏洞的修补或更新会影响到整个设备,协议漏洞的处理影响整个系统与架构,可能需要大量系统与子系统的升级,因此厂商修补的难度相对较高。
第三,以漏洞披露态势而言,在2022年的CVE漏洞,有56%是来自设备制造商,至于其余(43%),则是安全企业与独立安全人员披露。
第四,以产品品牌来看,西门子表现最突出,因为该公司产品安全团队三年披露的自家产品漏洞数量最多,分别为78个、230个、544个,明显高于其他企业,但SynSaber强调,这不应该视为西门子产品的安全性较低。事实上,对于设备制造商而言,趋向成熟的自我漏洞通报流程机制是必要的,其他制造商应该要效法,而且也需努力去实现。
另外,若从安全企业通报ICS产品的CVE漏洞数量来看,近三年以趋势科技最多,分别为67个、246个与197个。
最后,对于工控产品用户而言,SynSabe建议从三大面向去思考。从适用性来看,企业需要一个最新的资产清单,因为每个报告都会提到受影响的产品、软件与版本;从严重性来看,尽管CVSS评分不应该是确定修补修先顺序的唯一举标,但依然很有帮助;从可修复性来看,这类问题可能比较复杂,但寻求设备商提供修补升级,如何在不影响操作下,以及不需改变整个系统、子系统与架构下,采取缓解配置,将是重点。整体而言,工控产品用户在设法应对时,可从三大面相相互涵盖的部分去思考。
在SynSaber这份报告中,他们统计了近三年的ICS漏洞数量,2020年披露有550个CVE漏洞,2021年有1,191个,2022年有1,342个,三年总数为3,083个;至于医疗ICS漏洞的披露,则相对较少且有减少的趋势,从2020年的79个CVE漏洞,2021年的87个,到2022年的23个,而医疗ICS漏洞通告数量是逐年减少。
从ICS的CVE漏洞类型、漏洞所处位置来看,SynSaber归纳为三类,包括软件漏洞、固件漏洞与协议漏洞。该公司指出,软件漏洞的修补算是较为容易,更需要关注的是固件与协议漏洞,其更新修补是相对困难,容易影响整个设备,影响整个系统与架构,而且这两方面的漏洞占比近4成。