創下歷史新高，共發布了 508 份安全公告，涵蓋 2155 個漏洞——這是自開始追蹤以來的最高數量，其中影響現場控制器、可編程邏輯控制器 (PLC) 和監控與數據採集 (SCADA) 漏洞等核心資產上升。分析指出，存在嚴重的可見性缺口，許多漏洞揭露缺乏相應的官方安全公告，可能導致防禦者無法意識到這些嚴重風險。

報告強調，營運技術與IT和雲端服務的日益互聯正在擴大攻擊面，並呼籲提高資產可見性、協調漏洞優先排序，以及加快修補程式和補償控制策略的實施，以加強關鍵基礎設施在2026年之前的安全。數據也顯示，安全建議的平均CVSS評分呈上升趨勢。

鑑於 CISA/ICS-CERT 自 2010 年啟動ICS 諮詢 (ICSA)計劃以來一直是 OT/ICS（運營技術/工業控制系統）漏洞方面的權威來源，Rob Hulsebos、Daniel dos Santos 和 Forescout Research – Vedere Labs 在一篇博客文章中寫道，從 2010 年 3 月到 2026 年 2026 年 3 月發布。 ICS 諮詢報告，涉及 689 家供應商的 2,783 種產品，共 12,174 個漏洞。

他們補充說：「這些安全公告中有178份專門針對醫療設備——接近5%。然而，關鍵設備上存在越來越多的漏洞，但這些漏洞並未通過相關的集成控制安全公告（ICSA）進行跟踪，這可能會使資產所有者和網絡管理員對其網絡存在盲點。”

隨著針對營運技術 (OT) 和關鍵基礎設施的攻擊數量持續增長，這些數據顯得尤為重要，因此資產所有者必須提高對其漏洞的可見性，以降低風險。

Forescout 的數據標誌著一個明顯的轉折點，自美國網路安全和基礎設施安全局 (CISA) 於 2010 年開始發布 ICS 諮詢以來，曲線急劇向上彎曲，披露的數量、每次諮詢的漏洞數量以及影響工業環境的缺陷的總體嚴重程度都在穩步上升。

報告發布的第一個完整年度 (2011年)，CISA發布了67份ICS安全公告，涵蓋103個CVE漏洞，平均每份公告包含1.5個漏洞。到2025年，這數字飆升至508份公告，涵蓋2155個CVE漏洞，平均每份公告包含4.2個CVE漏洞。去年，該機構發布的ICS安全公告數量首次超過500份，凸顯了已揭露的OT和ICS漏洞數量的不斷增長。

隨著數量增加，嚴重程度也隨之攀升。 2010 年，ICS 安全公告的平均 CVSS 評分為 6.44，大多數問題屬於中度嚴重程度。在接下來的十年中，該平均值穩步上升，到 2024 年達到 8.04，到 2025 年達到 8.07。換句話說，影響工業環境的典型已揭露漏洞的嚴重程度已從中等轉向高。綜合來看，數據顯示，不僅安全公告的數量有所成長，影響營運技術環境的漏洞的集中度和嚴重程度也持續上升。

Forescout 也指出，CVSS 依嚴重程度類別劃分的分佈如下所示：如果我們查看所有已發布的預警，其中 75% 為高危或危急級別。但如果我們單獨查看 2025 年的預警，這個數字躍升至 82%。

去年，情況基本上與歷史平均值相符。 2025年受影響最大的資產包括：普渡大學一級設備（Purdue Level 1），例如現場控制器、遠端終端單元（RTU）、可程式邏輯控制器（PLC）和智慧電子設備（IED）；普渡大學三級營運系統，包括製造執行系統（MES）、產品生命週期管理（PLM）和環境管理系統（EMS）；以及普渡大學二級控制系統，例如分散式控制系統（DCS）、資料與監控系統（BV）管理系統（BV）。工業網路基礎設施，包括路由器、防火牆和其他網路元件，也仍然是攻擊的重點目標。暴露的工業網路比暴露的低階運作技術（OT）設備更容易遭受攻擊。

研究數據顯示：「當我們查看這些資產的用途（如ICSA出版物中所記錄的）時，我們發現製造業和能源業一直是去年及以往受影響最大的兩個行業。歷史上，水務和污水處理業是受影響第三大的行業，但到2025年，這一位置將被交通運輸業取代。另一個顯著的變化是，醫療保健產業從以往受影響第八大的產業躍升至去年的第四大產業。

Forescout 的調查顯示，關鍵製造業以近 300 項預警位居各行業之首，其次是能源產業，約有 245 項預警。同期，交通運輸系統和醫療保健及公共衛生領域分別記錄了約 180 項和 165 項預警，而供水和污水處理系統則有超過 115 項預警。2025 年諮詢數量最少的行業，包括水壩、緊急服務、核反應器、材料和廢棄物，都保持在 15 項諮詢門檻以下。

從歷史累計數據來看，關鍵製造業仍是受影響最大的產業，累計發布了近2,000份安全警示；能源產業迄今已累計發布超過1,400份安全警示。供水和污水處理系統在歷史數據中排名第三，發布了超過650份安全警示；而食品和農業、交通運輸系統以及化工等行業的安全警示總數則在400至450份之間徘徊。相較之下，核反應器、核設施以及金屬和採礦業的歷史安全警示數量似乎微不足道。

研究人員也強調，到 2025 年，只有 22% 的此類漏洞有 CISA 發布的 ICSA 報告，低於 2024 年的 58% 和 2023 年的 40%。總共有 134 家供應商在 2025 年存在沒有相應 ICSA 報告的漏洞，這凸顯了 OT 和 ICS 風險中很大一部分仍未被官方公告追蹤。

沒有ICSA（獨立網路安全和基礎設施安全局）發布的漏洞與有CISA（網路安全和基礎設施安全局）專門建議的漏洞同樣重要。事實上，到2025年，61%沒有ICSA發布的漏洞都屬於高危或嚴重級別。而且，與CISA追蹤的漏洞一樣，這些漏洞主要影響製造業和能源產業。

近年來，資產所有者、最終用戶、網路安全研究人員和政府機構日益呼籲更加重視營運技術 (OT) 和工業控制系統 (ICS) 的漏洞。諸如即將出台的歐盟《網路彈性法案》等監管舉措，促使供應商採取更積極主動的措施，包括協調一致的揭露流程和及時發布修補程式。監管壓力不僅限於歐盟；例如，三菱公司去年 9 月就響應中國網路安全要求修復了一個漏洞。

儘管一些供應商仍準備不足，例如發布缺乏 CVE 標識符的靜默補丁，但許多供應商正在取得實際進展。一些供應商現在發布自己的網路安全公告，從而減少了對 CISA/NVD 生態系統的依賴。集中化雖然提高了效率，但也造成了單點故障，NVD 的積壓工作和 2025 年的資金挑戰就凸顯了這一點。

另一個積極的進展是機器可讀格式（例如 CSAF）的採用，這實現了自動解析和更有效率的漏洞管理。這些轉變共同表明，OT 和 ICS 風險的追蹤和緩解方式正在逐步但意義重大地改進。

對OT/ICS領域的漏洞管理挑戰需要監管壓力、產業協作和供應商責任三者兼顧。提高修補程式發佈時間表的透明度、投入專案資源用於漏洞管理以及加強快速回應的激勵機制，有助於加快整個產業的漏洞管理進程。此外，倡導主動安全而非被動修復的文化，也將使供應商和資產所有者受益。

本週，Forescout發布了VistaroAI，並將其定位為從被動防禦轉變為主動網路決策的標誌。隨著攻擊者快速部署智能體和生成式人工智慧，以及業界嚴陣以待迎接後量子時代顛覆性變革，安全團隊被大量警報淹沒，卻缺乏清晰的洞察。這款專為網路安全打造的基於技能的智慧體人工智慧套件，並非又一個儀表板，而是能夠即時洞察發生了什麼變化、哪些因素至關重要以及下一步應該採取什麼行動。

資料來源：https://industrialcyber.co/threats-attacks/forescout-flags-spike-in-high-severity-ot-ics-flaws-exposing-visibility-gaps-that-leave-critical-infrastructure-at-risk/