關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 法規標準
顯示分類
2025.11.20
標準與框架/法規標準
Claroty警告稱,由於設備命名分散導致CVE準確性下降,CPS識別錯誤普遍存在
CPS資產識別的危機與資安盲點

隨著數位轉型浪潮,網路實體系統(Cyber-Physical Systems, CPS)在關鍵基礎設施、製造業與醫療機構中的部署密度持續攀升。然而,伴隨資產數量激增而來的,是數位領域中設備識別機制的高度分散與不可靠性。這種碎片化的命名系統已成為OT/IoMT資安防禦的致命弱點,導致漏洞與風險的歸因出現嚴重偏差。安全團隊在面對不斷增加的常見漏洞與暴露(CVE)時,因缺乏統一且精確的資產數據,無法判斷特定漏洞是否確實影響環境中的特定設備,從而形成難以彌補的「資安盲點」,延長系統暴露於威脅的時間。本研究將探討此一問題的規模、根源,並分析業界領先者為解決此困境所提出的創新方案。


網路實體系統的激增與數位命名困境

CPS資產,涵蓋工業控制系統(ICS)至醫療物聯網(IoMT)設備,是實體世界與數位世界的橋樑,其安全性直接關係到操作的連續性乃至公共安全。製造商在實體產品的生產過程中,對產品變體的標籤和分類有著嚴格的標準。然而,當這些設備進入網路領域,其數位命名慣例卻往往是事後勉強附加的,缺乏統一的規範。這種「物理嚴謹、數位鬆散」的矛盾,使得同一台設備在網路環境中可能以多個不一致的別名或型號呈現,嚴重干擾了資產盤點與漏洞管理工作的準確性。對於試圖精確評估風險的防禦者而言,這是他們在應對威脅時所面臨的首要障礙。


數據揭示的嚴重性:產品代碼的傳輸失準

Claroty Team82的研究透過對數百萬CPS資產的分析,量化揭示了資產識別問題的普遍性與嚴重性。產品代碼(Product Code)作為設備識別的關鍵標準,在OT和IoMT協議中卻很少被數位化傳輸。

Claroty Team82的最新數據顯示,網路實體系統在醫院和工業環境中持續激增,但這些資產在數位領域的識別方式仍然分散且不可靠。製造商在物理世界中對每種產品變體都有嚴格的標籤流程,但他們的網路命名規則往往是後期添加的,導致同一設備被標記為多個不一致的別名。這給防禦者造成了真正的盲點,當CVE資料無法完全匹配時,他們可能會錯誤地歸因漏洞並誤判風險暴露程度

研究表明,這個問題十分普遍。在1700萬個CPS資產中,88%的資產在資料收集過程中未能傳輸準確的產品代碼,76%的資產報告的代碼與供應商的官方記錄不符。


多重別名現象與供應商訊息的不完整性

單一資產呈現多重別名是安全團隊面臨的另一個重大挑戰。根據研究,單一脆弱的控制器可能根據用於收集數據的協議或方法,以產品系列名稱、型號或版本等多種形式出現。更複雜的是,工業控制系統和老舊醫療設備往往因設計和協議限制,難以提供完整的作業系統名稱、版本或修補程式級別等關鍵配置細節。這種資訊的缺失,使得安全團隊無法將已知的CVE與環境中的特定資產建立完全的關聯,導致資產面臨長時間的暴露。

Team82 也揭露,部分OEM產品代碼和型號從未在CVE安全公告中公佈。「供應商的產品目錄可能會列出產品名稱及其支援的眾多型號,但CVE安全公告中往往包含不完整的訊息,導致安全團隊只能根據現有訊息推斷設備是否存在特定CVE漏洞。因此,同一設備可能存在多個漏洞,具體取決於設備的配置方式以及漏洞是否僅影響特定配置的產品。」

此外,CPS資產的模組化特性進一步加劇了複雜性。某些漏洞僅存在於特定的配置中,要求安全團隊必須手動從多個來源(如國家漏洞資料庫、供應商安全公告、產品型錄)推斷資訊的準確性,這不僅耗時費力,更極易產生錯判。


破局之道:Claroty「CPS庫」的誕生與AI賦能

為應對設備數據碎片化的龐大規模挑戰,業界開始轉向利用AI驅動的資料分析和協議專業知識來彌補差距。Claroty推出的「CPS庫」(註)(CPS Library)正是這一趨勢下的重要產物。

註:

Claroty於週三在其Claroty xDome和Claroty持續威脅偵測 (CTD) 解決方案中推出了「CPS庫」。CPS庫是一個資產目錄,能夠提供更深入的可見性,並實現對漏洞歸因的精確確定性追溯。為了建立這個由人工智慧驅動的、首創的程式庫,Claroty與包括羅克韋爾自動化和施耐德電氣在內的自動化供應商和醫療設備製造商合作,以確保在追蹤資產規格方面提高可見度和準確性。

CPS庫的建立旨在成為OEM和醫療設備預設配置、批准的修補程式級別和憑證實踐的統一知識庫。透過結合先進的AI技術與對OT協議的深入經驗,CPS庫能夠自動分析龐大的資產數據集,修復不一致性,從根本上提高資產可見性。


精確資產映射帶來的顯著效益與未來展望

精確的資產映射和漏洞歸因解決方案已證明能帶來實際且顯著的安全效益。這些AI驅動的技術能夠填補傳統工具在識別產品代碼、作業系統版本等關鍵資訊方面的空白。

Claroty發現,採用新的資產映射準確性解決方案帶來了顯著的改進。「我們結合人工智慧驅動技術和OT協議經驗,提高了我們分析的一家主要OEM產品目錄的資產識別準確性。我們能夠為56%的分析設備提供針對環境中過時韌體的新建議,並減少資產與漏洞匹配中的誤報和漏報。」

這項成果證明,透過技術手段解決設備識別碎片化問題,可以顯著提高環境中過時韌體或配置錯誤的發現率。在資產與漏洞匹配中減少誤報(False Positives)和漏報(False Negatives),對於資源有限的安全團隊至關重要,它使得他們能夠將精力集中在真正的風險點上,加速漏洞修復的最終里程。未來,只有建立起更為統一、自動化、且基於供應商合作的資產數據標準,才能確保在CPS環境中達成真正的網絡實體系統韌性。


資料來源:https://industrialcyber.co/threats-attacks/claroty-warns-of-widespread-cps-misidentification-as-fragmented-device-naming-undermines-cve-accuracy/
 
Claroty Team82揭示網路實體系統(CPS)存在普遍且嚴重的設備命名碎片化問題,導致資安防禦者難以準確歸因CVE漏洞,嚴重影響風險暴露評估。