Jumlah CVE yang dilaporkan melalui penasehat ICS telah meningkat setiap tahun, dengan 2020-2021 melihat peningkatan 67,3 persen CVE CISA ICS, sementara 2021-2022 melihat peningkatan dua persen, menurut laporan baru dari SynSaber.
Meningkatnya volume kerentanan menyoroti upaya berkelanjutan untuk mengamankan sistem ICS yang penting bagi infrastruktur energi, manufaktur, air, dan transportasi suatu negara. Ada juga fokus yang berkembang pada regulasi yang berarti operator dalam infrastruktur kritis berada di bawah tekanan lebih besar untuk menganalisis, memitigasi, dan melaporkan kerentanan baru dan yang sudah ada.
“Volume kerentanan ICS yang dilaporkan tumbuh pada tingkat eksponensial, menciptakan kelelahan yang lebih waspada dan potensi sikap apatis dalam ekosistem ICS/OT,” kata Jori VanAntwerp, salah satu pendiri dan CEO SynSaber. “Laporan ini menyoroti pekerjaan besar yang dilakukan oleh produsen, CISA, peneliti, dan vendor untuk mengungkapkan kerentanan, sambil mengakui kebutuhan akan lebih banyak konteks seputar CVE ini untuk menentukan apa yang harus diperbaiki dan diperbaiki untuk melindungi keamanan dan infrastruktur nasional kita. “
Selama periode tiga tahun sejak 2020, 21,2 persen CVE yang mengkhawatirkan dilaporkan saat ini tidak memiliki tambalan atau perbaikan yang tersedia. Mengharuskan pengguna untuk berinteraksi untuk mengeksploitasi kerentanan hadir dalam rata-rata seperempat dari semua CVE yang dirilis sejak 2020 (22 persen pada 2020, 35 persen pada 2021, 29 persen pada 2022).
“Kunci untuk diingat bahwa seseorang tidak hanya menambal ICS. Selain hambatan operasional untuk masuk, ada sejumlah tantangan praktis untuk memperbarui sistem industri. ICS tidak hanya memperbarui komponen perangkat lunak tetapi juga firmware perangkat dan tantangan arsitektur yang mungkin melibatkan pembaruan seluruh protokol,” kata Ron Fabela, salah satu pendiri dan CTO SynSaber. “Masing-masing memiliki tingkat risiko yang harus dipertimbangkan saat memprioritaskan aktivitas. Misalnya, memutakhirkan firmware perangkat mungkin memiliki risiko ‘merusak’ sistem yang signifikan, yang mungkin sulit dipulihkan.”
Laporan lengkap tersedia dari situs SynSaber.
Kredit gambar: Gorodenkoff / Shutterstock
