網路實體系統漏洞揭露達到高峰，而內部團隊的揭露在 18 個月內增加 80%

XIoT 資安狀況報告： Claroty 的 Team82 版 2H 2022 揭露了研究人員在強化 XIoT 資安以及增加 XIoT 供應商在保護其產品的投資方面的正面影響

紐約州紐約市 – 2023年2月14日 根據美國工業物聯網安全狀態報告： 2H 2022 由 網路實體系統保護公司 Claroty 今天 發佈，自 2H 2021 年達到高峰以來， 2022 年下半年 （2H） 揭露的網路實體系統漏洞數量已減少了 14%，而內部研究和產品安全團隊發現的漏洞數量也在同期增加了 80%。 Claroty 這些發現表明，資安研究人員正在對加強物聯網擴展 （XIoT） 的安全性產生積極影響，XIoT 是一個龐大的網路實體系統網路，涵蓋工業、醫療保健和商業環境，而 XIoT 供應商正投入更多資源來檢查其產品的安全性和安全。

由 Claroty 獲獎的研究團隊 Team82 所編寫，第六屆半年期的 XIoT 安全報告是對影響 XIoT 的漏洞的深入檢查和分析，包括營運技術和工業控制系統 （OT/ICS）、醫療物聯網 （IoMT）、建築管理系統和企業 IoT。 該資料集包含 2H 2022 x Team82 公開揭露的漏洞，以及來自受信任的公開來源的漏洞，包括國家漏洞資料庫 （NVD）、工業控制系統網路緊急應變小組 （ICS-CERT）、CERT@VDE、MITRE 以及工業自動化廠商 Schneider Electric 和 Siemens。 

“網路實體系統是我們生活方式的動力。 Claroty 副總裁研究 Amir Preminger 說： “ Team82’s 研究和編制本報告的目的是為這些關鍵行業的決策者提供他們正確評估、確定優先順序和應對互聯環境風險所需的  資訊，因此，我們開始看到供應商和研究人員的勞動力在內部團隊不斷增長的披露中的結果非常令人震驚。 這表明，供應商正接受保護網路實體系統的需求，不僅要將時間、人員和金錢投入到修補軟體和韌體漏洞上，還要投入到產品安全團隊。

關鍵發現

• 受影響的裝置： 62% 的已發佈 OT 漏洞影響 ICS 的 Purdue Model 3 級裝置。 這些裝置可管理生產工作流程，並且可能是 IT 與 OT 網路之間的關鍵交叉點，因此對於旨在中斷工業營運的威脅發動者而言非常有吸引力。 

• 嚴重性： 71% 的漏洞被評估為 CVSS v3 評分為“關鍵” （9.0-10） 或“高” （7.0-8.9），反映出資安研究人員傾向於專注於找出具有最大潛在影響的漏洞，以最大程度地減少傷害。 此外，資料集中五大常見弱點列舉 （CWE） 中的四項，也在 MITRE 2022 CWE 前 25 大危險軟體弱點中的前五大中，這些弱點可能相對容易利用，並使對手能夠中斷系統的可用性和服務交付。

• 攻擊媒介： 63% 的弱點可透過網路遠端利用，這意味著威脅行為人不需要對受影響的裝置進行本機、相鄰或實體存取，以利用該弱點。 

• 影響： 主要的潛在影響是未經授權的遠端程式碼或命令執行 （普遍在 54% 的漏洞中），其次是 43% 的拒絕服務條件 （當機、結束或重新啟動）。

• 緩解措施： 最大的緩解步驟是網路區隔（ 29% 的漏洞揭露建議），其次是安全的遠端存取（26%）和勒索軟體、網路釣魚和垃圾郵件保護（22%）。

• Team82 筆貢獻： Team82 筆在 OT 漏洞研究方面維持了多年的領導地位，其中 2H 筆 2022 筆揭露了 65 筆漏洞，其中 30 筆獲評為 CVSS v3 分數 9.5 分或更高，截至目前為止已有超過 400 筆漏洞。

若要存取 Team82’s 套完整的發現、深入分析和建議的安全措施，以應對弱點趨勢，請下載完整的 XIoT 安全狀態報告： 2H 2022 報告。

加入 Team82 Slack 管道 ，以進一步討論並深入瞭解報告。

確認
本報告的主要作者是 Claroty 的安全研究員 Bar Ofner。 貢獻者包括：威脅與風險組長 Rotem Mesika、資料副總裁 Nadav Erez、研究總監 Sharon Brizinov、研究副總裁 Amir Preminger、資料科學家 Chen Fradkin 以及資安研究人員 Moran Zaks 和 Yuval Halaban。 特別感謝 Team82 全體員工為本報告的各個方面以及推動本報告的研究工作提供卓越的支援。

關於 Claroty
Claroty Claroty讓組織能夠保護其延伸物聯網 （XIoT），這是橫跨工業、醫療保健和商業環境的龐大網路實體系統網路。 公司的網路實體系統保護平台整合了客戶現有的基礎架構，為可視性、風險和弱點管理、網路分割、威脅偵測和安全遠端存取提供全方位的控制。 Claroty 在全球最大的投資公司和工業自動化供應商的支援下，由全球數以百計的組織部署在數千個地點。 公司總部設於紐約市，在歐洲、亞太地區和拉丁美洲均有業務。