Les divulgations de vulnérabilités des systèmes cyber-physiques atteignent leur apogée, tandis que les divulgations par les équipes internes augmentent de 80 % sur 18 mois

NEW YORK, Février 14, 2023 / PRNewswire / - Les vulnérabilités des systèmes cyber-physiques révélées au cours du second semestre 2 ont diminué de 2022 % depuis qu'elles ont atteint un pic au cours du deuxième semestre 14, tandis que les vulnérabilités découvertes par les équipes internes de recherche et de sécurité des produits ont augmenté de 2 % sur la même période, selon au Rapport sur l'état de la sécurité XIoT : 2S 2022 publié aujourd'hui par Clarté, la société de protection des systèmes cyber-physiques. Ces résultats indiquent que les chercheurs en sécurité ont un impact positif sur le renforcement de la sécurité de l'Internet étendu des objets (XIoT), un vaste réseau de systèmes cyber-physiques dans les environnements industriels, de santé et commerciaux, et que les fournisseurs de XIoT consacrent davantage de ressources. à examiner plus que jamais la sécurité et la sûreté de leurs produits.

Compilé par Team82, équipe de recherche primée de Claroty, le sixième rapport semestriel sur l'état de la sécurité du XIoT est un examen et une analyse approfondis des vulnérabilités ayant un impact sur le XIoT, y compris la technologie opérationnelle et les systèmes de contrôle industriel (OT/ICS), l'Internet des objets médicaux (IoMT), la construction les systèmes de gestion et l’IoT d’entreprise. L'ensemble de données comprend des vulnérabilités divulguées publiquement au cours du deuxième semestre 2 par Team2022 et provenant de sources ouvertes fiables, notamment la base de données nationale sur les vulnérabilités (NVD), l'équipe de réponse aux cyber-urgences des systèmes de contrôle industriel (ICS-CERT), , MITRE et les fournisseurs d'automatisation industrielle Schneider Electric et Siemens.

« Les systèmes cyberphysiques alimentent notre mode de vie. L’eau que nous buvons, l’énergie qui chauffe nos maisons, les soins médicaux que nous recevons – tout cela repose sur un code informatique et a un lien direct avec les résultats du monde réel », a déclaré Amir Preminger, vice-président de la recherche chez Claroty. « Le but des recherches de Team82 et de la rédaction de ce rapport est de fournir aux décideurs de ces secteurs critiques les informations dont ils ont besoin pour évaluer, prioriser et gérer correctement les risques liés à leurs environnements connectés. Il est donc très encourageant de constater que nous commençons à en voir les fruits. du travail des fournisseurs et des chercheurs dans le nombre sans cesse croissant de divulgations provenant des équipes internes. Cela montre que les fournisseurs reconnaissent la nécessité de sécuriser les systèmes cyber-physiques en consacrant du temps, des personnes et de l'argent non seulement à corriger les vulnérabilités des logiciels et des micrologiciels, mais également aux équipes de sécurité des produits dans leur ensemble.

Principales conclusions

• Appareils concernés : 62 % des vulnérabilités OT publiées affectent les appareils de niveau 3 du modèle Purdue pour ICS. Ces appareils gèrent les flux de production et peuvent constituer des points de croisement clés entre les réseaux IT et OT, ce qui les rend très attrayants pour les acteurs malveillants visant à perturber les opérations industrielles.
• Gravité: 71 % des vulnérabilités ont reçu un score CVSS v3 de « critique » (9.0-10) ou « élevé » (7.0-8.9), reflétant la tendance des chercheurs en sécurité à se concentrer sur l'identification des vulnérabilités ayant le plus grand impact potentiel afin de maximiser la réduction des dommages. . De plus, quatre des cinq principales énumérations de faiblesses communes (CWE) de l'ensemble de données figurent également dans le top cinq du Top 2022 CWE 25 du MITRE, qui peut être relativement simple à exploiter et permettre aux adversaires de perturber la disponibilité du système et la fourniture de services. .
• Vecteur d'attaque : 63 % des vulnérabilités sont exploitables à distance sur le réseau, ce qui signifie qu'un acteur malveillant n'a pas besoin d'un accès local, adjacent ou physique à l'appareil affecté pour exploiter la vulnérabilité.
• Répercussions : Le principal impact potentiel est l’exécution non autorisée de code ou de commande à distance (prédominante dans 54 % des vulnérabilités), suivie par les conditions de déni de service (plantage, sortie ou redémarrage) dans 43 %.
• Atténuations : La principale étape d'atténuation est la segmentation du réseau (recommandée dans 29 % des divulgations de vulnérabilités), suivie par l'accès à distance sécurisé (26 %) et la protection contre les ransomwares, le phishing et le spam (22 %).
• Contributions de l'équipe 82 : Team82 a maintenu une position de leader prolifique pendant plusieurs années dans la recherche sur les vulnérabilités OT avec 65 divulgations de vulnérabilités au cours du deuxième semestre 2, dont 2022 ont reçu un score CVSS v30 de 3 ou plus, et plus de 9.5 vulnérabilités à ce jour.

Pour accéder à l'ensemble complet des résultats de Team82, à une analyse approfondie et aux mesures de sécurité recommandées en réponse aux tendances de vulnérabilité, téléchargez le fichier complet Rapport sur l'état de la sécurité XIoT : 2S 2022 signaler.