SynSaber’e göre, bildirilen ICS güvenlik açıklarının ve CVE’lerin hacmi, kritik altyapı varlık sahiplerinin bunalmış hissetmelerine veya nereden başlayacaklarını bilmek için yardıma ihtiyaç duymalarına neden olabilir.
Rapor, aşağıdakileri belirlemek için 2022’nin ikinci yarısında CISA tarafından yayınlanan 920’den fazla CVE’yi analiz ediyor:
- Güvenlik açıklarını kim bildiriyor?
- Hangi çözümler (varsa) mevcuttur?
- Ciddiyet düzeyleri ve potansiyel etkileri nelerdir?
- Veriler, yılın ilk yarısında bildirilen CVE’lerle nasıl karşılaştırılır?
SynSaber’in CTO’su Ron Fabela, “Yıllar geçtikçe, endüstriyel kontrol sistemlerinde bir güvenlik açığı ifşası seli yaşanıyor ve güvenlik topluluğu her bir maruz kalma noktasını düzeltmeye veya onarmaya çalışırken genellikle endişe yaratıyor – bu imkansız bir başarı” dedi.
Fabela, “Bu raporla amacımız, 920’den fazla CVE’yi analiz etmek ve hangi CVE’lerin en ciddiye alınması gerektiği ve hangilerinin kuruluşun risk yönetimi stratejisinin bir parçası olarak kabul edilebileceği konusunda ICS endüstrisi için içgörü toplamaktır” diye ekledi.
Önemli bulgular
- 2022’nin ikinci yarısında bildirilen CVE’lerin %35’inde şu anda satıcıdan herhangi bir yama veya iyileştirme bulunmuyor (yılın ilk yarısında %13’tü).
- CVE’lerin %56’sı Orijinal Ekipman Üreticisi (OEM) tarafından bildirilirken, %43’ü güvenlik sağlayıcıları ve bağımsız araştırmacılar tarafından sunuldu (bu rakamlar 2022’nin ilk yarısıyla tutarlıydı).
- CVE’lerin %28’i, yararlanmak için sisteme yerel veya fiziksel erişim gerektirir (2022’nin ilk yarısında %23 idi).
- 2022’nin ikinci yarısında bildirilen CVE’lerin %22’si önceliklendirilebilir ve ele alınmalıdır (organizasyon ve satıcı planlaması ile)
CISA ICS Önerileri ve diğer kuruluşlar aracılığıyla bildirilen CVE’lerin hacminin azalması muhtemel değildir. Varlık sahipleri ve kritik altyapıyı savunanlar için iyileştirmelerin ne zaman mevcut olduğunu ve bunların nasıl uygulanıp önceliklendirilmesi gerektiğini anlamaları önemlidir.