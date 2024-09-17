تم التحديث في 24 سبتمبر 2024
في فبراير، بدأ عدد الثغرات التي تمت معالجتها وإثرائها بواسطة قاعدة بيانات الثغرات الأمنية الوطنية الأمريكية (NVD) التابعة للمعهد الوطني الأمريكي للمعايير والتقنية (NIST) في التباطؤ. وبحلول شهر مايو، كانت 93.4% من الثغرات الجديدة و50.8% من الثغرات المعروفة المستغلة لا تزال تنتظر التحليل، وفقًا لبحث من VulnCheck.
بعد ثلاثة أشهر، لا تزال المشكلة قائمة. بينما لدى معهد NIST خطة للعودة إلى المسار الصحيح، فإن التحليل الراهن لحالة نقاط الضعف والتعرض الشائعة (CVE) الحالية لا يواكب اكتشافات الثغرات الجديدة. فيما يلي نظرة على ما وراء هذا التراكم، ولماذا لم تعد الثغرات الأمنية الشائعة هي الكأس المقدسة للدفاع عن تكنولوجيا المعلومات وكيف يمكن لفرق الأمان أن تظل متقدمة على جهود المهاجمين.
تخفيضات الميزانية مسؤولة جزئيًّا عن مشكلات تحليل نقاط الضعف والثغرات الأمنية الشائعة. وكما أشارت مجلة Security Magazine، فقد تم تخفيض تمويل المعهد الوطني للمعايير والتقنية (NIST) بنسبة 12% هذا العام، ما يجعل من الصعب على الوكالة إثراء نقاط الضعف والثغرات الأمنية الشائعة. ومن الناحية العملية ، يُعدّ NVD مستهلكًا نهائيًا لبيانات نقاط الضعف والثغرات الأمنية الشائعة - في حين أن عدد نقاط الضعف والثغرات الأمنية الشائعة التي يتم العثور عليها والإبلاغ عنها لا يزال ثابتًا، فإن قدرة المعهد الوطني للمعايير والتقنية (NIST) على تقييم هذه الثغرات الأمنية وإثرائها قد تم تقليله بشكل كبير.
كما أن العدد الهائل من الثغرات الأمنية المُبلغ عنها يمثل مشكلة لجهود التحليل؛ فقد وجد بحث Flashpoint أن المعهد الوطني للمعايير والتقنية (NIST) أبلغ عن 33137 ثغرة أمنية في عام 2023. ويرتبط ارتفاع الأعداد جزئيًّا بتحسين قدرات الكشف. مع توسع الشركات في جهود الأمن باستخدام التقنيات المعتمدة على السحابة والأدوات القائمة على الذكاء الاصطناعي، أصبحت أكثر قدرة على تحديد التهديدات المحتملة. وبالتالي، فإن الأرقام الأكبر لا تدل دائماً على زيادة المخاطر، لكنها تشير إلى تزايد عدد المسارات المحتملة للهجوم.
لدى المعهد الوطني للمعايير والتقنية (NIST) خطة لإنهاء الأعمال المتراكمة. وفقا لموقع USASpending.gov منحت الحكومة عقداً بقيمة 860000 دولار أمريكي لشركة Analygence لتحليل الأمن السيبراني ودعم البريد الإلكتروني. وكان من المقرر أن تبدأ جهود التحليل في 3 يونيو، ويأمل المعهد الوطني للمعايير والتقنية (NIST) في العودة إلى المسار الصحيح بحلول سبتمبر 2024. وعلى الرغم من أن العقد من المقرر أن ينتهي اعتبارًا من ديسمبر 2024، فإن الوكالة لديها خيار تمديد الخدمات حتى يوليو 2025.
إن المخاوف بشأن تراكم أعمال NVD أمر مفهوم. وكلما طالت المدة التي يستغرقها المعهد الوطني للمعايير والتقنية (NIST) لتحليل نقاط الضعف والثغرات الأمنية الشائعة واقتراح تدابير مضادة فعالة، زادت المخاطر التي تتعرض لها المؤسسات.
ومع ذلك، كما أشار Cybersecurity Dive، فإن مشهد الأمن السيبراني يتغير. خلال القمة الافتراضية التي نظمتها Gartner حول الأمن وإدارة المخاطر، أشار كبير المحللين Mitchell Schneider إلى أنه بينما يستمر عدد الثغرات في الازدياد، فإن نقاط الضعف والثغرات الأمنية الشائعة الحساسة لا تتفوق على نظيراتها في المستويات العالية والمتوسطة والمنخفضة.
والأكثر من ذلك ، أن المهاجمين لا يستخدمون درجة خطورة نقاط الضعف والثغرات الأمنية الشائعة كمعايير للاختراق. "لا يوجد ارتباط جوهري بين هذه مستوى نقطة الضعف وما إذا كان عنصر التهديد يستغلها فيما يتعلق بتقييمات الخطورة تلك"، بحسب Schneider. وبدلاً من ذلك ، يعطي المهاجمون الأولوية للثغرات الأمنية الأكثر قابلية للاستغلال، والتي غالبًا ما تكون مصنفة على أنها متوسطة أو منخفضة الخطورة.
من الناحية العملية، يؤدي ذلك إلى سيناريو الغابة مقابل الأشجار: إذا ركزت الشركات بشكل كبير على الثغرات الحساسة، فقد يفوتها استغلال الثغرات المتوسطة التي تسمح للمهاجمين بالوصول إلى الشبكة ثم الانتقال بشكل جانبي إلى أنظمة أكثر أهمية.
ما النتيجة؟ بينما تظل قاعدة بيانات الثغرات الأمنية المشتركة جزءًا حساسًا من الأمن الفعال، إلا أنها ليست حلاً سحريًا. أساليب التهديد السيبراني تتغير، ويجب على فرق الأمن أن تكون مستعدة للتغيير استجابة لذلك.
إذن كيف يبدو هذا التغيير بشكل عملي؟
يمكن أن تساعد أربعة اعتبارات الشركات على بناء دفاعات أفضل في عالم إضافات قاعدة البيانات الوطنية الأمريكية للثغرات الأمنية (NVD) المتأخرة.
مع تنوع أساليب الهجوم وأنماطه، تحتاج الشركات إلى إعطاء الأولوية لرؤية تكنولوجيا المعلومات. تخيل شركة تستخدم التخزين المحلي للبيانات الحساسة، والسحابة العامة للاختبار والتطوير، والسحابة الخاصة لموارد التطبيق القابلة للتوسع.
في ظل المشهد الجديد للتهديدات، يمكن أن تأتي الهجمات من أي مصدر وفي أي وقت. إذا لم يتم اكتشافها، يمكن للمهاجمين أن يتحينوا الوقت لجمع البيانات وتحديد مسارات الهجوم المثالية. نتيجة لذلك، فإن الرؤية الكاملة أمر بالغ الأهمية. وكلما زادت معرفة الشركات بما يحدث في بيئاتها، كلما كانت أكثر استعداداً للكشف عن الهجمات وتحديدها والتخفيف من حدتها.
وكما أوضحت مؤسسة Gartner، فإن قابلية الاستغلال هي الآن الأولوية القصوى للمهاجمين. في حين أن نقاط الضعف الأكثر خطورة قد تكون أهدافاً أكثر قيمة على المدى القصير، إلا أن نقاط الضعف متوسطة أو منخفضة الخطورة القابلة للاستغلال يمكن أن تهيئ للمهاجمين نجاحاً مستمراً.
على سبيل المثال، افترض أن الجهات الخبيثة يمكنها استغلال ثغرة متوسطة الخطورة على الحافة من شبكات الأعمال. في هذه الحالة ، قد تتمكن من إنشاء أبواب خلفية توفر وصولاً دائمًا إلى أنظمة المؤسسة والاحتفاظ بها. ومن هناك، يمكنهم تنفيذ عمليات الاستطلاع وانتظار الوقت المناسب حتى تركز فرق الأمن على الثغرات الأمنية الأخرى.
من خلال استهداف الثغرات الأمنية الأكثر قابلية للاستغلال وليس الأكثر خطورة، يمكن لفرق الأمن تقليل فرصة نجاح الهجمات.
لم يعد الأمان عبئًا حصريًا على فرق تكنولوجيا المعلومات. تلعب فرق العمليات والتمويل والتسويق والمبيعات وخدمة العملاء دوراً في الحفاظ على سلامة الشركات. في حين أن المسؤولية النهائية عن الأمن لا تزال تقع على عاتق المتخصصين في مجال التقنية، إلا أن تقاسم العبء بين الفرق يمكن أن يحسن معدلات الكشف ويقلل من الوقت بين الكشف واتخاذ الإجراء.
في ظل تراكم أعمال قاعدة البيانات الوطنية الأمريكية للثغرات الأمنية (NVD)، من المهم لفرق الأمن إيجاد موارد بديلة والاستفادة منها. تشمل مصادر الأمن المحتملة ما يلي:
يأمل المعهد الوطني للمعايير والتقنية (NIST) في القضاء على تراكمات NVD بحلول سبتمبر 2024، ولكن لا يوجد ما يضمن نجاح جهوده. وكما أشار موقع The Record، فقد اقترح السيناتور Mark Warner (ديمقراطي من ولاية فرجينيا) وThom Tillies (جمهوري من ولاية كارولينا الشمالية) تشريعًا من شأنه استعادة التمويل للمعهد الوطني للمعايير والتقنية وزيادة تركيزه على المخاطر الجديدة، مثل التهديدات التي يدعمها الذكاء الاصطناعي، ولكن مشروع القانون لا يزال في مراحله الأولى.
وبعبارة أخرى، بينما تدرك الوكالة والمشرعون الفيدراليون التأثير الحساس لتحليل وإثراء نقاط الضعف والثغرات الأمنية الشائعة (CVE)، لا يمكن للشركات الاعتماد على قاعدة بيانات NVD لتقديم بيانات محدثة عن الثغرات الأمنية.
وبدلاً من ذلك، من الأفضل للشركات تغيير نهجها لتتماشى مع جهود المهاجمين المتطورة. من خلال تنفيذ الأدوات التي تساعد على تحسين الرؤية وتحديد قابلية الاستغلال، يمكن للشركات إعطاء الأولوية للتهديدات عالية المخاطر. ومن خلال تقاسم العبء الأمني بين الأقسام وتوسيع نطاق استخدامها للموارد الأمنية المتاحة، يمكن للمؤسسات في الوقت نفسه الاستجابة بفعالية أكبر لأولويات الهجمات المتغيرة.
تصحيح: تم تحديث هذه المقالة لتوضيح الاختلافات بين قاعدة البيانات الوطنية الأمريكية للثغرات الأمنية (NVD) ونقاط الضعف والثغرات الأمنية الشائعة (CVE). ويعمل برنامج نقاط الضعف والثغرات الأمنية الشائعة (CVE) على فهرسة الثغرات الأمنية التي تم الكشف عنها علنًا من خلال سجلات نقاط الضعف والثغرات الأمنية الشائعة، في حين أن قاعدة البيانات الوطنية الأمريكية للثغرات الأمنية (NVD) هو مستهلك نهائي للبيانات التي يوفرها برنامج نقاط الضعف والثغرات الأمنية الشائعة (CVE).
