随着企业数字化转型深入，云计算不断普及，越来越多的工业系统成为勒索软件的攻击目标，一些已经发生的关键基础设施安全事件（例如ColonialPipe输油管道遭受的攻击）已经展示了此类攻击的极高风险。

根据工控安全公司Claroty发布的最新报告，工业控制系统(ICS)的漏洞披露数量正在急剧加速。许多都是严重或者高危漏洞，绝大多漏洞利用的攻击复杂度很低，这意味着攻击的门槛很低，而且很容易重复使用。

报告显示，2021年上半年共披露了637个ICS漏洞，与2020年下半年相比增长了41%。相比之下，2019年至2020年的总体增长仅为25%。

披露的漏洞影响普渡模型的各个层面，包括运营管理（23.55%）、监督控制（14.76%）和基本控制(15.23%)，用于监控传感器、泵、执行器等设备。

“最重要的发现是基本控制中披露的可能导致远程代码执行的漏洞增加，”Claroty安全研究员陈弗拉德金指出。该报告指出，检测到的漏洞中有61%可远程利用，这凸显了保护物联网和工业物联网设备的重要性。

不可否认，工控系统漏洞数量的快速增长与漏洞猎人（寻找漏洞的安全研究人员）的增加有关，但由于这些漏洞一直存在，它们也长期暴露在网络犯罪份子面前。

根据研究，在发现的漏洞中，71%被归类为“高”或“关键”风险（上图）。报告还称，65%可能会导致可用性完全丧失，从而导致拒绝访问资源。更令人担忧的是，26%要么没有可用的修复程序，要么只有部分修复，这凸显了与IT环境相比，保护OT环境的关键挑战。

更重要的是，这些攻击的技术门槛不一定很高。高达90%的漏洞的攻击复杂性较低，74%的漏洞不需要特权。此外，66%甚至不需要用户交互，例如单击链接或共享敏感信息。

报告写道：“资产以创纪录的数量在网上暴露出来，随之暴露的是它们的所有缺陷：未修补的漏洞、不安全的凭据、薄弱的配置以及使用过时的工业协议。”

报告指出，任何使用受影响产品的工业运营企业——包括关键基础设施，都面临风险。这包括电力公用事业、石油和天然气、食品和饮料、供水公用事业、汽车生产、制药和许多其他领域的企业。

西门子是漏洞报告最多的受影响供应商，其次是施耐德电气、罗克韦尔自动化、WAGO和研华(上图)。