2020年ICS漏洞报告要点

2020年，ICS-CERT在CISA的ICS-CERT门户网站上发布了248条网络安全警告供公众使用。神韵分析了所有这些顾问，无论它们是来自大供应商还是小供应商，以确保准确性，即使在主要供应商不太为人所知的地区也是如此。我们将它们与2019年发布的影片进行了比较。本报告总结了结论、对补救战略的影响，以及对2021年可能发生的情况的展望。

与2019年相比，ICS-CERT警告增加了约30%，常见漏洞和暴露(CVE)的数量增长了近50%，这些CVE的常见漏洞评分系统(CVSS)的平均评分增加到8.0以上(满分10分)。这些警告在原始设备制造商(OEM)应用软件和嵌入式设备漏洞之间平分。

随着网络连接的日益紧密，这些漏洞会带来风险。几乎三分之二(63%)的人不需要什么技能就可以远程开发。这比2019年的56%有所上升。与2019年相比，2020年可远程利用/低技能漏洞的总数增加了66%。这应该会让OT运营商感到不安，特别是在COVID期间和未来，关键基础设施的远程连接更加紧密。

这些不仅仅是小的、次要的风险。目前的趋势是，得分在8到10之间的警告信，其风险分值的上升速度大约是排名在7或更低的警告信的两倍。因此，不仅风险在增加，而且严重性也在增加。

最大型（〜35％）涉及认证或验证错误可以使未经批准的行动者进行更改。和第二（30％）涉及缓冲区溢出。对于安全研究人员，这个术语是众所周知的，但对运营商的这种影响是巨大的。这些类型的漏洞可用于：

• 消耗/耗尽设备或软件的可用资源并要求重新启动。
• 在不安全的条件下，设备无法做出确定的响应。
• 生成HALT或STOP条件，由于意外的通信或命令。
• 并可能被用于通过远程代码利用(RCE)危害系统或应用程序。

与2019年一样，西门子构成了数量最多的咨询公司。2020年，31%的警报与西门子有关，而2019年这一比例为23%。这并不是说西门子的设备“不安全”。在ICS中，我们需要了解发布的漏洞实际上可能意味着一个更成熟的漏洞管理程序，而不是风险更大的软件。

一个能说明问题的事实是，几乎四分之三（73％）的安全漏洞是由第三方报告。这是伟大的更多研究人员潜入ICS的复杂的世界，但是这也意味着对手也深入到这些设备和发现，他们很可能没有披露的漏洞。原始设备制造商的吧正在上升很快开始更积极的努力发现，报告和披露的漏洞。

最重要的潜在趋势之一是，当我们评估这些ICS嵌入式设备上的软件材料账单时，出现了越来越大的威胁。2020年，248份咨询报告中有36份(占15%)与这些供应链风险有关。但我们认为，这大大低估了这些隐藏弱点的风险。通过我们的独立研究，我们经常发现嵌入式设备利用不安全的软件堆栈元素。

从供应链/第三方组件漏洞的披露情况可以推测，漏洞并没有增加，但产品越来越多地纳入了脆弱的第三方组件。同样，随着对供应链(URG11、Treck和SolarWinds)的关注增加，我们怀疑这将扩大风险舞台，但不是以研究人员和供应商宣称的那种深刻方式。

• ICS CERT报告的5％，影响多个产品，99％受影响的多个版本。
• 从所有ICS CERT报告的CVE的9％产生从供应链的漏洞或第三方依赖单独。
• 这是冰山的一角......

这将是今后几年不断增加的漏洞披露的一个主要原因。这似乎可以压倒ICS的安全团队或OT工程师负责跟踪这一切的。

1. 跟踪漏洞是压倒性的-面对几乎持续不断的警告、勒索软件的威胁、入侵和持续不断的cve。
2. 对这些数据的预期和行动尚不明确- 这是伟大的，被告知风险，但应该如何有人主次调控措施？没有解决办法中提到，应该怎样组织呢？什么是缓冲区溢出与下溢与资源枯竭？这些都是常见的问题。
3. 什么，你不知道能不能伤害你- 给出的增长和供应链风险率，还有什么是这些IC器件的幕后潜伏？

OT操作人员的四项预防措施

1. 确保强劲的库存。这不仅适用于基于操作系统的设备及其版本，也适用于所有的底层应用软件，以及所有具有相应固件的嵌入式设备。这些风险占OT环境中所有漏洞的三分之二以上
2. 集中跟踪风险。这些OT漏洞最具挑战性的部分之一是，它们通常不能全部进入标准数据库。许多供应商私下向他们的客户提供没有包含在ICS-CERT数据库中的建议。许多供应链咨询并不一定与特定的OT固件相关。嵌入式OT设备可以分布在数十个或数百个地点。集中的数据库和分析能力对于有效管理这些风险至关重要。
3. 分配集中资源起床上ICS漏洞管理速度。这并不一定需要多年的经验，但分布在许多不同的植物或工程师的分析是非常困难的。这集中化和启用小群人在阅读这些和绘图的影响为OT成为专家的关键是有效地管理这些风险。
4. 积极寻求补偿控制。许多人认为修补是不OT是可行的。现实情况是，在某些情况下真实的，但在许多情况下，有有效的修补程序来解决最严重的风险是可行的手段。自动化工具可以用这样的劳动挑战帮助。但是，我们也知道，在所有嵌入式设备更新固件可以挑战或不可能的。运营商可以采取一系列的补偿控制，以部分地解决至少风险。在短期内，应用人机界面（HMI）/服务器层具有改进的配置管理和OS的用户/帐户管理和嵌入式设备和强大的网络保护组合鲁棒补丁管理可以提供一系列的好处，可以提供更高的安全性，直到升级周期能够提供必要的更新。

这个故事最初出现在神韵工业的网站．神韵工业是CFE媒体内容合作伙伴。由Chris Vavra，Web Content Manager，CFE媒体和技术编辑编辑，cvavra@cfemedia.com.．