Extent of reported CVEs overwhelms critical infrastructure asset owners
2023/01/23 HelpNetSecurity — SynSaber によると、膨大な量の ICS における脆弱性と CVE の件数が報告されることで、重要インフラ資産の所有者は圧倒され、また、どこから手をつければ良いのかと、手助けを求めることがあるようだ。SynSaber の CTO である Ron Fabela は、「毎年のように、産業用制御システムの脆弱性が大量に開示されるが、セキュリティ・コミュニティによる露出ポイントへのパッチ適用/修正が不可能であるため、しばしば不安を生み出しているま」と述べている。
このレポートでは、2022年後半に CISA が公表した 920以上の CVE を分析し、次のことを判断している。
- 誰が脆弱性を報告しているのか?
- どのような改善策があるのか(もしあれば)?
- 深刻度レベルおよび潜在的な影響とは何か?
- 上半期に報告された CVE と比較して、どうなっているのか?
Ron Fabela は、「このレポートの目的は、CISA が公表した 920 以上の CVE を分析することで、最も深刻に受け止めるべき CVE を判別し、また、組織のリスク管理戦略の一部として受け入れられる可能性について、ICS 業界に有益な洞察を得ることだ」と述べている。
主な調査結果
- 2022年下半期に報告された CVE の 35% は、現時点においてベンダーからパッチや修正策が提供されていない (上半期の 13% から増加)。
- CVE の 56% は OEM ベンダーから報告されているが、43% はセキュリティ・ベンダーや独立研究者から報告されている (この数字は2022年上半期と同じ)。
- CVE の 28% は、悪用のためにシステムへのローカル・アクセス/物理的アクセスを必要とする (2022年上半期の 23% から増加)。
- 2022年下半期に報告された CVE の 22% は、優先順位を高めて対処することが可能であり、また、対処すべきものである (組織やベンダーの計画により) 。
CISA ICS Advisories などを介して報告される CVE の量は、今後も減少することはないと思われる。資産の所有者や重要インフラを守る人々は、いつになったら改善策を講じることが可能なのか、また、どのように実施し、優先順位をつけるべきかを理解しておくことが重要となる。
この記事の元データとなっている、SynSaber の ICS Vulnerabilities and CVEs: Second Half of 2022 ですが、簡単に PDF がダウンロードできるので、ご興味のある方は、ぜひ、ご参照ください。ICS のセキュリティに関する、統計値を元にした記事には、以下のようなものがあります。よろければ、カテゴリ ICS も、ご参照ください。
2022/07/21:ICS に 681件の脆弱性:2022年上半期のレポート
2022/06/08:ランサムウェア:リピーターになる ICS 企業が 80%
2022/03/08:ICS における脆弱性の開示:過去4年間で 110% の急増
2021/08/19:ICS に 637件の脆弱性:2021年上半期のレポート
2022/02/10:2021年:重要インフラの 80% がランサムウェア攻撃を経験
IoT OT Security News 
You must be logged in to post a comment.