2023년 상반기 CISA가 공개한 670개 ICS 취약점: 분석
홈페이지홈페이지 > 소식 > 2023년 상반기 CISA가 공개한 670개 ICS 취약점: 분석

2023년 상반기 CISA가 공개한 670개 ICS 취약점: 분석

Jun 09, 2023

CISA는 2023년 상반기에 670개의 ICS 취약점을 공개했지만 약 1/3은 공급업체로부터 패치나 완화 조치가 제공되지 않았습니다.

에 의해

플립보드

레딧

핀터레스트

왓츠앱

왓츠앱

이메일

산업 자산 및 네트워크 모니터링 회사인 SynSaber에 따르면, 미국 사이버 보안 및 인프라 보안국(CISA)은 2023년 상반기에 산업 제어 시스템(ICS) 및 기타 운영 기술(OT) 제품에 영향을 미치는 670개의 취약점을 공개했습니다.

ICS 자문 프로젝트와 공동으로 실시한 SynSaber의 분석에 따르면 CISA는 2022년 상반기 205개에서 2023년 상반기에 185개의 ICS 권고를 발표했습니다. 이러한 권고에서 다루는 취약점의 수는 상반기에 1.6% 감소했습니다. 2023년 상반기와 2022년 상반기 비교.

결함의 40% 이상이 소프트웨어에 영향을 미치고 26%가 펌웨어에 영향을 미칩니다. OEM은 이러한 취약점의 대부분(50% 이상)을 계속해서 보고했으며 보안 공급업체(28%)와 독립 연구원(9%)이 그 뒤를 이었습니다.

중요 제조 및 에너지는 2023년 상반기에 보고된 CVE의 영향을 받을 가능성이 가장 높은 중요 인프라 부문입니다.

2023년 상반기에 공개된 CVE 중 88개는 '심각함'으로 평가되었으며 349개는 '심각도 높음'으로 평가되었습니다. 100개가 넘는 결함에는 대상 시스템에 대한 로컬/물리적 액세스와 사용자 상호 작용이 모두 필요하며, 163개는 네트워크 가용성에 관계없이 특정 유형의 사용자 상호 작용이 필요합니다.

보고된 취약점 중 34%는 공급업체에서 제공하는 패치나 해결 방법이 없습니다. 이는 2022년 상반기의 13%에서 증가했지만 2022년 하반기와 거의 동일합니다.

2023년 상반기의 증가는 Linux 커널에 영향을 미치는 100개 이상의 CVE를 다루는 Siemens 권고에 부분적으로 기인합니다. 이에 대한 패치는 업계 거대 기업이 아직 출시하지 않았습니다. 또한 패치를 받지 못하는 많은 취약점은 지원되지 않는 제품에 영향을 미칩니다.

SynSaber 보고서는 또한 조직이 다양한 요소를 기반으로 취약점의 우선순위를 지정하는 데 도움이 되는 정보를 제공합니다.

SynSaber의 공동 창립자이자 CEO인 Jori VanAntwerp는 "모든 OT 환경은 고유하며 특정 임무를 위해 특별히 구축되었습니다."라고 말했습니다. “결과적으로 악용 가능성과 영향은 조직마다 크게 다를 것입니다. 한 가지 확실한 점은 보고된 CVE의 수가 시간이 지남에 따라 계속 증가하거나 적어도 일정하게 유지될 가능성이 높다는 것입니다. 이 연구가 자산 소유자가 자신의 환경에 따라 취약점을 완화할 시기와 방법의 우선순위를 정하는 데 도움이 되기를 바랍니다.”

관련된: ICS 취약점 계산: 보안 회사에서 보고한 수치의 변화 조사

관련된: Siemens, 2022년에 발견된 ICS 취약점 증가: 보고서

Eduard Kovacs(@EduardKovacs)는 SecurityWeek의 편집장입니다. 그는 Softpedia의 보안 뉴스 기자로 저널리즘 경력을 시작하기 전에 2년 동안 고등학교 IT 교사로 일했습니다. Eduard는 산업 정보학 학사 학위와 전기 공학에 적용되는 컴퓨터 기술 석사 학위를 보유하고 있습니다.

SecurityWeek 이메일 브리핑을 구독하여 업계 전문가의 통찰력 있는 칼럼과 함께 최신 위협, 동향, 기술에 대한 정보를 받아보세요.

보안 전문가와 함께 사이버 위험을 줄이고 비즈니스 역량을 강화할 수 있는 ZTNA의 미개척 잠재력에 대해 논의해 보세요.

소프트웨어 공급망 보안을 위한 새로운 전략을 소개하는 웹 세미나에 Microsoft와 Finite State에 참여하세요.

지금의 좋은 것, 나쁜 것, 추한 것을 생각하는 것은 우리에게 "생존을 위한 부정적인 초점과 번영을 위한 긍정적인 초점"을 제공하는 과정입니다.(마크 솔로몬)

위협 정보를 공유하고 다른 위협 인텔리전스 그룹과 협력하면 고객 보호를 강화하고 사이버 보안 부문 전반의 효율성을 높이는 데 도움이 됩니다.(Derek Manky)