根据工业网络安全公司 SynSaber 的一份新报告，在工业控制系统 (ICS) 中发现的漏洞数量持续增加，其中许多漏洞的严重性等级为“严重”或“高”。 

报告比较了 CISA 在 2020 年和 2022 年期间发布的 ICS 和 ICS 医疗咨询数量。虽然 2021 年和 2022 年的咨询数量大致相同，均为 350 个，但去年发现的漏洞数量达到 1,342 个，而 2021 年为 1,191 个前一年。

评级为“严重”的漏洞数量增长更为显着，从 2021 年的 186 个增加到 2022 年的近 300 个。根据其 CVSS 评分，总共有近 1,000 个漏洞为“严重”或“高严重性”。

虽然CVSS 分数在 ICS 缺陷的情况下可能会产生误导，并且不应单独使用它们来确定修补程序的优先级，但这些分数仍然可用于对满足组织适用性标准的问题进行排名。

Synsaber 的报告显示，西门子在 ICS 漏洞数量方面脱颖而出。不仅 2022 年发现的许多安全漏洞影响了西门子的产品，这家德国工业巨头还自报了最多的漏洞，远远超过其他供应商。

西门子的产品安全团队在 2022 年报告了 544 个漏洞，高于上一年的 230 个。第二个供应商是日立，有 64 个错误。

“西门子产品安全团队继续提高报告频率，同比增长近 3 倍。虽然与其他产品相比，这确实增加了影响西门子产品线的已知 CVE 的数量，但这不应被视为西门子产品的安全性较低。相反，成熟且可重复的 OEM 自我报告流程是所有其他 OEM 应该努力实现的目标，”SynSaber 指出。

西门子通常每个月都会解决数十个漏洞，但其中许多会影响公司产品使用的 第三方组件。

虽然去年发现的漏洞数量很多，但近三分之一的漏洞需要用户交互才能成功利用，大约四分之一需要对目标系统进行本地或物理访问。然而，值得注意的是，与 2021 年相比，需要用户交互和本地访问的缺陷百分比有所下降。 

从过去三年的数据来看，一个令人担忧的方面是“永远存在的漏洞”——这些漏洞可能永远不会得到补丁——的数量从 2021 年的 14% 增加到 2022 年的 28%。 

ICS 漏洞会影响软件、固件或协议。在 2020 年至 2022 年期间，在这些类别中发现的问题百分比一直相当稳定，软件占 56%，固件占 36%，协议占 8%，这三年平均而言。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：工业控制安全扩展测评PPT
9. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
10. 网络安全等级保护：等级测评中的渗透测试应该如何做
11. 网络安全等级保护：等级保护测评过程及各方责任
12. 网络安全等级保护：政务计算机终端核心配置规范思维导图
13. 网络安全等级保护：什么是等级保护？
    
14. 网络安全等级保护：信息技术服务过程一般要求
15. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
16. 闲话等级保护：什么是网络安全等级保护工作的内涵？
17. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
18. 闲话等级保护：测评师能力要求思维导图
    
19. 闲话等级保护：应急响应计划规范思维导图
    
20. 闲话等级保护：浅谈应急响应与保障
    
21. 闲话等级保护：如何做好网络总体安全规划
    
22. 闲话等级保护：如何做好网络安全设计与实施
    
23. 闲话等级保护：要做好网络安全运行与维护
    
24. 闲话等级保护：人员离岗管理的参考实践

25. 网络安全等级保护：浅谈物理位置选择测评项

26. 信息安全服务与信息系统生命周期的对应关系
27. >>>工控安全<<<
28. 工业控制系统安全：信息安全防护指南
29. 工业控制系统安全：工控系统信息安全分级规范思维导图
30. 工业控制系统安全：DCS防护要求思维导图
31. 工业控制系统安全：DCS管理要求思维导图
32. 工业控制系统安全：DCS评估指南思维导图
33. 工业控制安全：工业控制系统风险评估实施指南思维导图
34. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
35. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
36. >>>数据安全<<<

37. 数据安全风险评估清单

38. 成功执行数据安全风险评估的3个步骤

39. 美国关键信息基础设施数据泄露的成本

40. VMware 发布9.8分高危漏洞补丁

41. 备份：网络和数据安全的最后一道防线

42. 数据安全：数据安全能力成熟度模型

43. 数据安全知识：什么是数据保护以及数据保护为何重要？

44. 信息安全技术：健康医疗数据安全指南思维导图

45. >>>供应链安全<<<

46. 美国政府为客户发布软件供应链安全指南
    

47. OpenSSF 采用微软内置的供应链安全框架
    

48. 供应链安全指南：了解组织为何应关注供应链网络安全
    

49. 供应链安全指南：确定组织中的关键参与者和评估风险
    

50. 供应链安全指南：了解关心的内容并确定其优先级

51. 供应链安全指南：为方法创建关键组件

52. 供应链安全指南：将方法整合到现有供应商合同中

53. 供应链安全指南：将方法应用于新的供应商关系

54. 供应链安全指南：建立基础，持续改进。

55. 思维导图：ICT供应链安全风险管理指南思维导图
    

56. 英国的供应链网络安全评估

57. >>>其他<<<

58. 网络安全十大安全漏洞

59. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

60. 网络安全等级保护：应急响应计划规范思维导图

61. 安全从组织内部人员开始

62. 影响2022 年网络安全的五个故事

63. 2023年的4大网络风险以及如何应对

64. 网络安全知识：物流业的网络安全

65. 网络安全知识：什么是AAA（认证、授权和记账）？
66. 网络安全知识：如何打破密码依赖循环

67. 面向中小企业的 7 条网络安全提示