2023 年上半期に CISA によって公開された 670 件の ICS 脆弱性: 分析
CISA は、2023 年上半期に 670 件の ICS 脆弱性を公開しましたが、約 3 分の 1 にはベンダーからパッチや緩和策が提供されていません。
による
フリップボード
レディット
ピンタレスト
ワッツアップ
ワッツアップ
Eメール
産業資産およびネットワーク監視会社SynSaberによると、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2023年上半期に産業用制御システム(ICS)およびその他のオペレーショナルテクノロジー(OT)製品に影響を及ぼす670件の脆弱性を公表した。
ICS アドバイザリー プロジェクトと協力して実施された SynSaber の分析によると、CISA が 2023 年上半期に発行した ICS アドバイザリーは 185 件で、2022 年上半期の 205 件から減少しました。これらのアドバイザリーでカバーされている脆弱性の数は上半期に 1.6% 減少しました。 2023 年と 2022 年上半期の比較。
欠陥の 40% 以上がソフトウェアに影響し、26% がファームウェアに影響します。 OEM は引き続きこれらの脆弱性のほとんど (50% 以上) を報告しており、セキュリティ ベンダー (28%) と独立研究者 (9%) が続きます。
重要な製造業とエネルギーは、2023 年上半期に報告される CVE の影響を受ける可能性が最も高い重要インフラ部門です。
2023 年上半期に開示された CVE のうち、88 件が「重大」と評価され、349 件が「高重大度」と評価されました。 100 件を超える欠陥では、対象システムへのローカル/物理アクセスとユーザー操作の両方が必要で、163 件ではネットワークの可用性に関係なく、何らかのユーザー操作が必要です。
報告された脆弱性の 34% にはベンダーからパッチや修正が提供されておらず、2022 年上半期の 13% から増加しましたが、これは 2022 年下半期とほぼ同じです。
2023 年上半期の増加の一部は、Linux カーネルに影響を与える 100 を超える CVE を対象とするシーメンスの勧告によるものですが、この業界巨人はまだパッチをリリースしていません。 さらに、パッチが提供されない脆弱性の多くは、サポートされていない製品に影響を与えます。
SynSaber レポートは、組織がさまざまな要因に基づいて脆弱性の優先順位を付けるのに役立つ情報も提供します。
SynSaber の共同創設者兼 CEO である Jori VanAntwerp 氏は次のように述べています。「すべての OT 環境は独自であり、特定のミッションのために構築されています。」 「その結果、悪用の可能性と影響は組織ごとに大きく異なります。 1 つ確かなことは、報告される CVE の数は時間の経過とともに増加し続けるか、少なくとも安定している可能性が高いということです。 この調査が、資産所有者が自社の環境に応じて脆弱性をいつ、どのように軽減するかを優先順位を付ける一助となることを願っています。」
関連している: ICS の脆弱性の数を数える: セキュリティ会社によって報告される数のばらつきを調査する
関連している: シーメンスが 2022 年に発見された ICS 脆弱性の増加を促進: レポート
Eduard Kovacs (@EduardKovacs) は、SecurityWeek の編集長です。 彼は、Softpedia のセキュリティ ニュース記者としてジャーナリズムのキャリアを開始する前に、高校の IT 教師として 2 年間働いていました。 エデュアルドは産業情報学の学士号と、電気工学に適用されるコンピュータ技術の修士号を取得しています。
SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。
セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。
ソフトウェア サプライ チェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。
今、良いこと、悪いこと、醜いことを徹底的に考えることは、私たちに「生き残るためのネガティブな焦点ではなく、繁栄するためのポジティブな焦点」を与えてくれるプロセスです。(マーク・ソロモン)
脅威情報を共有し、他の脅威インテリジェンス グループと協力することは、顧客の保護を強化し、サイバーセキュリティ部門全体の有効性を高めるのに役立ちます。(Derek Manky)