漏洞數量正達到歷史新高。在 2010 年 3 月至 2026 年 1 月期間,CISA 共發布了 3,637 份工業控制系統(ICS)安全通報,涵蓋來自 689 家供應商的 2,783 款產品中的 12,174 個漏洞。 僅2025年一年就發布了508份安全通報,這也是CISA首次單年發布量突破500份大關。這些安全通報共包含2,155項CVE,平均每份通報涉及4.2個漏洞。
嚴重性評級也呈上升趨勢。2024 年,工業控制系統(ICS)安全通報的平均 CVSS 分數首次突破 8.0,並在 2025 年間維持在此水準。 在去年發布的所有安全通報中,有 82% 被評為「高」或「嚴重」等級,高於歷年所有安全通報的 75% 平均值。這些是存在於電力網、水處理廠、製造生產線及交通網路運行系統中的嚴重且可被利用的漏洞。
漏洞遭利用的速度已超越修補程式的跟進速度
2026 年最令人擔憂的趨勢之一,是漏洞披露與實際攻擊之間的時差正不斷縮短。如今,攻擊者在美國網路安全與基礎設施安全局(CISA)發布安全通報後的 24 小時內,便會嘗試發動攻擊。這在營運技術(OT)環境中形成了一場近乎不可能的競速,因為修補漏洞通常需要維護時段、與供應商的協調,以及大量的營運規劃。
從邏輯上來說,我們理應盡快進行修補;然而,對於那些設計為全天候運作的關鍵性即時生產系統而言,現實情況卻並非如此。
風險管理是資產可視性與實際行動的交匯點
為了有效應對日益增多的漏洞,資安團隊的努力不應僅止於在漏洞被發現時立即加以識別。資安團隊還必須釐清漏洞的暴露情況、理解攻擊途徑,並掌握威脅行為者利用該漏洞所需執行的步驟,這一點至關重要。
一旦識別出風險,組織便會面臨超出可容忍範圍的風險。這些風險包括法規、財務、聲譽及安全風險。修補漏洞雖是一種選擇,但在營運技術(OT)環境中,此舉未必總是可行。
此處的關鍵在於,剝削行為往往發生在「機會」與「漏洞」交會之處。若能消除機會,便能降低暴露風險,進而有效緩解風險。了解存在漏洞之資產的暴露程度並消除該暴露風險,其成效幾乎可與修補漏洞相媲美。這些控制措施通常可在不中斷營運,亦不為底層工業流程引入額外風險的情況下實施。
MetaDefender Security™ 如何彌補此缺口
MetaDefender OT Security 專為應對上述情境OT Security 。它能在關鍵 OT/ICS 網路中提供持續的資產偵測功能,並能深入 OT 網路內部,識別裝置、通訊協定、韌體版本及通訊模式。
基於該資產基準MetaDefender OT Security 將已知漏洞(包括ICS-CERT 和 CISA 安全通報中追蹤的漏洞)與您環境中的特定裝置進行對應。當發布新的安全通報時,組織必須能夠迅速判斷自身是否受到影響,以及風險所在的位置。
物理與邏輯網路通訊圖可提供有效應對所需的依賴關係與暴露點映射。這包括識別諸如防火牆、路由器和交換機等設備,這些設備可透過額外的強化措施進行配置,以偵測或防止暴露風險。
由於修補是解決已知漏洞最可靠的方法OPSWAT 提供經過驗證的離線修補解決方案,以支援必要時的修補作業,並簡化修補流程,將修補時段縮至最短。
立即申請產品演示,了解OPSWAT 如何為您的整個工業環境OPSWAT 可視性、漏洞情報及威脅偵測OPSWAT 。
