有123家廠商受到了工業控制系統漏洞暴露的影響。這些存在漏洞的系統有可能正被你所在的機構工業控制系統環境所使用。報告認為工業控制系統擁有者和操作者有可能因廠商提示、評估和部署而焦頭爛額。

報告警告稱：“漏洞的洪水有可能讓工業控制系統資產的擁有者焦頭爛額，讓他們難以跟上漏洞提示、評估相關風險和部署漏洞防御措施的進度。”

工業控制系統漏洞正在增多

下方的報告表格展示了90%的受檢查工業控制系統漏洞都出現在2011到2015年之間。火眼認為震網病毒Stuxnet在2010年中旬得到了公開披露，而這有可能觸發了對發掘工業控制系統漏洞和漏洞利用的更強興趣。

此外，在2015到2015年之間存在著49%的增長，但報告解釋稱，考慮到2015年的大量漏洞都集中在OSISoft和Yokogawa兩家公司之間，之前多年平均5%的增長率更有可能成為未來的趨勢。

媒體認為，火眼對于未來工業控制系統漏洞5%的增長預期略為保守。特定行業、監管、為工業控制系統環境設計的新型尖端技術、提升了的安全評估將會幫助找到更多漏洞和當前未知的入侵活動。如果這些條件真的發生了，未來幾年里工業控制系統漏洞的數量增長率將大于5%。

公開披露時沒有補丁可打

在火眼研究的1552個漏洞中，516個（占33%）在被公開披露時還沒有補丁可打。這意味著三分之一的漏洞屬于零日漏洞，而火眼預計該趨勢將持續。考慮到打補丁的速度緩慢和沒有廠商補丁的情況，威脅源擁有足夠的機會來入侵工業控制系統環境。

工業控制系統攻擊者的圣杯：訪問Level2不受限制

火眼iSight Intelligence使用簡化的Purdue模型來對工業控制系統漏洞進行分類。該模型將系統、設備和功能分到特定的區域內（Level）。研究結果是，自2013年開始，大多數工業控制系統漏洞會影響Level2。

火眼認為它對于針對性的研究和攻擊而言是非常受歡迎的一個Level，因為該層上運行著的其它信息技術如主流操作系統和數據庫對于研究人員而言已經十分熟悉。此外，這些都是相對便宜的組件，很容易獲取。

對于工業控制系統安全專家而言，該報告中最重要的一點在于“在攻擊者能夠自由訪問Level2之后，進一步的入侵和尋找漏洞的重要性就減弱了，因為HMI和工程工作站都托管在Level2上。”

火眼拿烏克蘭電站攻擊的一個細節舉了例子，表明能夠控制HMI的攻擊者就能夠自由控制開關和作動器，而不需要利用其它漏洞。

此外，未授權的協議也會允許任意連接到的電腦與控制流程交互，比如當Modbus/TCP在使用時，網絡上的任意設備都能夠被允許改變控制器執行的流程邏輯中的設定點。

總結和指導

該報告對于工業控制工程師、設計師、電站管理人員均有幫助。此外，如果IT安全團隊希望協助工業控制系統運轉，但需要更好地理解挑戰、漏洞和威脅的話，該報告也將有指導意義。

火眼iSight Intelligence對那些希望開始尋找工業控制系統漏洞的人們給出了一個短名單：

了解你的資產：通過精確理解控制系統資產、位置、功能來讓安全團隊做好準備。確保你對資產存量的估計精確；

工業控制系統威脅情報：通過一系列來源獲取結構化的漏洞和補丁訂閱；

根據資產跟蹤漏洞：根據你的資產存量，將漏洞披露和補丁發布對應起來；

跟蹤存在漏洞、未打補丁的產品：在工業環境中了解你當前使用的老式、經典設備。存在一些能夠為無法打補丁的工業控制系統提供防御的技術；

漏洞補救的優先級排序：通過考慮工業控制系統架構的位置、入侵的難易程度、對被控制工業過程的影響程度來對漏洞補救進行排序。