该报告比较了 CISA 在 2020 年和 2022 年期间发布的 ICS 和 ICS 医疗咨询数量。虽然 2021 年和 2022 年的咨询数量大致相同，均为 350 个，但去年发现的漏洞数量达到 1,342 个，而 2021 年为 1,191 个前一年。

虽然CVSS 分数在 ICS 缺陷的情况下可能会产生误导，并且不应单独使用它们来确定修补程序的优先级，但这些分数仍然可用于对满足组织适用性标准的问题进行排名。

Synsaber 的报告显示，西门子在 ICS 漏洞数量方面脱颖而出。不仅 2022 年发现的许多安全漏洞影响了西门子的产品，这家德国工业巨头还自报了最多的漏洞，远远超过其他供应商。

西门子的产品安全团队在 2022 年报告了 544 个漏洞，高于上一年的 230 个。第二个供应商是日立，有 64 个错误。

“西门子产品安全团队继续提高报告频率，同比增长近 3 倍。虽然与其他产品相比，这确实增加了影响西门子产品线的已知 CVE 的数量，但这不应被视为西门子产品的安全性较低。相反，成熟且可重复的 OEM 自我报告流程是所有其他 OEM 应该努力实现的目标，”SynSaber 指出。

西门子通常每个月都会解决数十个漏洞，但其中许多会影响公司产品使用的 第三方组件。

虽然去年发现的漏洞数量很多，但近三分之一的漏洞需要用户交互才能成功利用，大约四分之一需要对目标系统进行本地或物理访问。然而，值得注意的是，与 2021 年相比，需要用户交互和本地访问的缺陷百分比有所下降。

从过去三年的数据来看，一个令人担忧的方面是“永远存在的漏洞”——这些漏洞可能永远不会得到补丁——的数量从 2021 年的 14% 增加到 2022 年的 28%。

ICS 漏洞会影响软件、固件或协议。在 2020 年至 2022 年期间，在这些类别中发现的问题百分比一直相当稳定，软件占 56%，固件占 36%，协议占 8%，这三年平均而言。