工业网络安全公司Claroty发布了第三份年度ICS风险与漏洞报告,该报告分析了与ICS领域使用的领先自动化产品相关的漏洞状况。
报告显示,2021年上半年影响工业控制系统(ICS)产品的637个漏洞,影响了76家供应商的产品。同时警告称,超过70%的已发布漏洞被指定为严重或高严重等级。
该公司此前发布的2H 2020 报告中,披露漏洞数量为449个,影响了59家供应商。
值得注意的是,大多数2021年上半年披露的漏洞(80.85%)是由受影响供应商的外部消息来源报告的,包括第三方安全公司、独立专家和学者。
对每个供应商披露的漏洞的分析表明,西门子是报告的漏洞最多的供应商,有146个,其中许多是作为西门子CERT进行的内部研究的一部分而披露的。其他缺陷最多的供应商是施耐德电气 (65) 和罗克韦尔自动化 (35)。
大多数缺陷影响操作管理级别(历史记录、OPC 服务器)的产品,其次是基本控制(PLC、RTU)和监督控制(HMI、SCADA)级别。
2021年上半年披露的漏洞比例最大,影响了普渡模型的第3级:运营管理(23.55%),其次是第1级:基本控制(15.23%)和第2级:监督控制(14.76%)。报告称。
该安全公司表示,61.38%的已披露漏洞可能被来自IT或OT网络外部的攻击所利用,这一数据令人担忧,好消息是该比例低于2020年2 H的71.49%。可通过本地攻击媒介利用的漏洞上升至31.55%,在2020年2H中,该百分比为18.93%。
“在 94.38% 通过本地攻击媒介的运营管理漏洞中,需要用户交互才能利用。这加强了对网络钓鱼和垃圾邮件预防,以及有助于阻止勒索软件和其他潜在破坏性攻击浪潮的意识技术的需求。” 报告表示。
专家指出,由于多种原因,更新工业控制系统或SCADA软件通常具有挑战性,这意味着很容易找到在工业环境中未更新的ICS-SCADA系统,并且威胁行为者可以将其作为网络攻击目标。
以下是一些缓解与修复相关的数据:
在2021的1H 中披露的637个ICS漏洞中,有25.59%没有修复或仅部分修复。
在未修复或部分修复的漏洞中,固件中发现了61.96%。
在没有或部分修复的漏洞中,55.21%可能导致远程代码执行,并且当成功利用时,47.85%可能导致拒绝服务的情况。
74.4%的漏洞需要修复,59.49% 需要软件修复。
637个漏洞中的6.43%影响不再受支持的生命周期终止产品,这类产品应及时更换。51.22%的漏洞在即将到期的报废产品固件中。
随着勒索软件攻击尤其针对设备的勒索攻击,给社会造成严重的影响和巨大破坏,大型制造业务和关键基础设施的复杂网络环境正成为勒索软件运营商的目标。
目前,对关键基础设施的网络攻击事件愈发频繁。
8月11日,全球财富500强企业埃森哲遭受勒索软件攻击,黑客团伙自称已窃取埃森哲超过6太字节(TB)“绝密”数据,并索要5000万美元赎金。
8月10日,跨链互操作协议 Poly Network 突遭黑客攻击,黑客在不到1小时时间内,分别盗走了 2.5 亿、2.7 亿、8500 万美元的加密资产,损失总额高达 6.1 亿美元。
之前还有对美国输油管道的攻击,肉类厂商的攻击......我们不得不面对一个严峻现实形势:2021年以来,全球所发生的勒索软件攻击事件显著增多。SonicWall数据亦显示,2021年上半年发现3.047亿次勒索软件攻击未遂时间,同比增长151%。放眼全球,2021年网络安全重大事件频发,网络安全风险问题日益突出,攻击行为亦朝着复杂化、规模化、多样化演进。
工业和信息化部网络安全管理局副局长陶青此前亦表示,“网络安全风险向实体经济渗透趋势更加明显,网络攻击、数据泄露、网络诈骗此起彼伏,全球网络空间安全形势严峻复杂,网络安全保障的基础性、关键性作用更加突出。”
网络攻击离不开安全漏洞的存在,数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,而减少漏洞数量,亟需加强软件安全。随着网络安全风险日益提高,在开发软件过程中安全问题不容小觑。提高软件自身安全性,有效又常见的方式即通过静态代码检测来发现代码缺陷及问题,还能在不运行代码的情况下及时发现运行时缺陷,便于定位及修正。
随着《网络安全法》、《数据安全法》及《关键信息基础设施安全保护条例》的实施,构筑网络安全保护堡垒的同时,在网络安全建设方面也对企业和个人提出更高要求。
参读链接:
https://www.woocoom.com/b021.html?id=c641396d97ea46499a2562240eddab21
https://securityaffairs.co/wordpress/121287/ics-scada/ics-flaws-report-h1-2021.html
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
