ICS vulnerability disclosures surge 110% over the last four years
2022/03/08 HelpNetSecurity — Claroty が発表した調査結果によると、Industrial Control System (ICS) における脆弱性開示は過去4年間で 110%という驚異的な伸びを示し、2021年 2H は 1H と比べて 25% 増になっていることが明らかになった。また、ICS の脆弱性は OT にとどまらず、Extended Internet of Things (XIoT) にも広がり、2021年 2H に注目すると、その 34% が IoT/IoMT/IT Assets に影響を与えていることが分かった。
Claroty の VP of Research である Amir Preminger は、「サイバー・フィジカル・システムの接続が進むにつれ、インターネットやクラウドから、これらのネットワークにアクセスが可能となった。したがって、防御担当者は、リスク判断に役立つ脆弱性情報をタイムリーに入手する必要がある」と述べている。
彼は、「ICS と IT インフラの融合によるデジタル・トランスフォーメーションの増加により、研究者は OT から XIoT へと仕事を拡大できる。Tardigrade マルウェア/Log4j 脆弱性/NEW Cooperative へのランサムウェア攻撃など、2021年 2H に注目を集めたサイバー・インシデントは、これらのネットワークの脆弱性を示し、新しい脆弱性を発見/開示するための、セキュリティ研究コミュニティの協力の必要性を浮き立たせた」と指摘している。
主な調査結果
- ICS における脆弱性開示は過去4年間で 110%増加しており、この問題に対する意識の高さと、セキュリティ研究者の関与が、OT 環境へとシフトしていることを示している。2021年 2H に公開された脆弱性は 797件であり、2021年上半期の 637件から 25% 増加した。
- 公開された脆弱性の 34% は IoT/IoMT/IT Assets に影響を及ぼしており、組織における OT/IT/IoT の統合的なセキュリティ管理のもとで融合される必要があると示している。したがって、資産の所有者と運用者は、脆弱性の管理と、露出を低減を推進するために、環境の徹底的なスナップショットを持つ必要がある。
- 脆弱性の 50% はサードパーティ企業により開示されたが、その大部分はサイバー・セキュリティ企業の研究者が発見したものだ。したがって、IT/IoT のセキュリティ研究と並んで、ICS へと焦点が移っている。また、2021年 2H には、新たに55名の研究者が脆弱性を報告している。
- ベンダーの内部調査により開示された脆弱性は、過去4年間で 76% 増加した。つまり、ベンダーが自社製品のセキュリティに多くのリソースを割り当てたことで、脆弱性調査をめぐる業界と規律が成熟したことを示している。
- 87% の脆弱性は、複雑性が低く、特別な条件を必要としないため、攻撃者は何度も再現させ、成功を予測できる。また、70% は、脆弱性を悪用する前に特別な権限を必要とせず、64% はユーザーとのインタラクションを必要としない。
- 公開された脆弱性の 63% は、ネットワーク経由でリモートからの攻撃を許す可能性があり、COVID-19 の流行で加速した安全なリモートワーク環境の必要性が、今後も継続して要求されることが示された。
- 潜在的な影響としては、リモートでのコード実行 (53%) が最も多く、サービス拒否 (42%)、保護機構のバイパス (37%)、アプリケーション・データの読み取り (33%) となっている。
- 推奨される緩和策のトップは、ネットワークのセグメンテーション (21%)、ランサムウェア/フィッシング/スパム対策 (15%)、トラフィック制限 (13%) となっている。
2021年8月に「産業制御システム (ICS) に 637件の脆弱性:2021年上半期のレポート」という記事を訳しましたが、それ以来、心待ちにしていた下半期のレポート「Biannual ICS Risk & Vulnerability Report: 2H 2021」が出てきました。これで、2021年の ICS 関連の脆弱性が、637+797=1,434件という規模であることが分かりました。ちなみに、NVD ベースの脆弱性全体の規模は、2021年で 20,061件とのことです。また、Risk Based Security のレポートによると、2021年には 28,695件の脆弱性が検出されたようです。
IoT OT Security News 