99精品视频在线观看婷婷,亚洲电影一区在线看

由于缺乏CVE，風(fēng)險管理變得復(fù)雜：僅知道設(shè)備或協(xié)議不安全是不夠的。為了做出明智的風(fēng)險管理決策，資產(chǎn)所有者需要知道這些組件是如何變得不安全的。不安全設(shè)計導(dǎo)致的問題并不總是能夠分配CVE，因此經(jīng)常被忽視。

存在設(shè)計不安全的供應(yīng)鏈組件：OT供應(yīng)鏈組件中的漏洞往往不會被每個受影響的制造商報告，這導(dǎo)致了風(fēng)險管理的困難。

并非所有不安全的設(shè)計都是平等的：報告研究了通過本機(jī)功能在1級設(shè)備上獲得RCE的三種主要途徑：邏輯下載、固件更新和內(nèi)存讀/寫操作。所分析的系統(tǒng)都不支持邏輯簽名，并且大多數(shù)設(shè)備(52%)將其邏輯編譯為本機(jī)機(jī)器代碼。這些系統(tǒng)中有62%接受通過以太網(wǎng)下載固件，而只有51%具有此功能的身份驗證。

攻擊性能力的開發(fā)比想象的更容易達(dá)成：對單個專有協(xié)議進(jìn)行逆向工程需要1天到2人工周，而對于復(fù)雜的多協(xié)議系統(tǒng)則需要5到6個人工月。這意味著，針對OT的惡意軟件或網(wǎng)絡(luò)攻擊可以由一個規(guī)模小但技術(shù)嫻熟的團(tuán)隊以合理的成本開發(fā) 。

總結(jié)：工控安全威脅態(tài)勢迅速惡化
報告揭示了當(dāng)前工控安全的多層面問題：從安全認(rèn)證產(chǎn)品中持續(xù)存在不安全設(shè)計，到拙劣的安全防御實踐。糟糕的漏洞管理以及提供虛假安全感的安全認(rèn)證正在使OT風(fēng)險管理工作變得異常復(fù)雜和艱難。此外，行業(yè)的不透明性正在損害OT產(chǎn)品的安全性。許多不安全的設(shè)計問題并未分配CVE，因此經(jīng)常被忽視并繼續(xù)使用。
當(dāng)前階段，各種證據(jù)顯示工控安全威脅態(tài)勢正在快速惡化。通過將OT連接到物聯(lián)網(wǎng)和IT設(shè)備，曾經(jīng)因為不聯(lián)網(wǎng)而被忽視的漏洞現(xiàn)在已經(jīng)成為對攻擊者非常有吸引力的目標(biāo) 。
參考鏈接：