تاريخ النشر: 22 يوليو 2024
المساهمون: Tasmiha Khan, Michael Goodwin
تشير نقاط الضعف والتعرض الشائعة (CVE) بشكل عام إلى قائمة CVE، وهي كتالوج معلن للثغرات الأمنية التي تهدد أمن المعلومات التي أنشأتها وتقوم على رعايتها MITRE Corporation.
يعد كتالوج نقاط الضعف والتعرض الشائعة (CVE) أشبه بقاموس أكثر من كونه قاعدة بيانات لنقاط الضعف والتعرض الشائعة. حيث يوفر اسمًا واحدًا ووصفًا واحدًا لكل ثغرة أو تعرض. وبذلك، فإنه يتيح الاتصال بين الأدوات وقواعد البيانات المتباينة ويساعد على تحسين قابلية التشغيل البيني والتغطية الأمنية. يتوفر كتالوج CVE بشكل مجاني ومتاح للتنزيل والاستخدام العام. تغذي قائمة CVE قاعدة بيانات الثغرات الأمنية الوطنية الأمريكية (NVD).
نقاط الضعف والتعرض الشائعة (CVE)، كمنظمة، هي "جهد مجتمعي دولي يحتفظ بسجل بيانات مفتوح يستند إلى المجتمع يحتوي على الثغرات المعروفة علنًا في الأمن الإلكتروني المعروف باسم قائمة نقاط الضعف والتعرض الشائعة."1
يتمثل أحد التحديات الأساسية في مجال الأمن الإلكتروني في تحديد وتخفيف الثغرات التي يمكن أن يستغلها المخترقون لاختراق التطبيقات والأنظمة والبيانات. تساعد CVE في معالجة هذا التحدي من خلال توفير إطار عمل قياسي موحد لفهرسة وتتبع نقاط الضعف وثغرات الأمن الإلكتروني التي يمكن للمؤسسات استخدامه لتحسين عمليات إدارة الثغرات الأمنية.
يستخدم نظام CVE معرّفات فريدة من نوعها تُعرف باسم معرّفات CVE (تسمى أحيانًا أرقام CVE) لتسمية كل ثغرة أو نقطة ضعف تم الإبلاغ عنها. ويسهل ذلك التواصل والتعاون وإدارة التدفقات الأمنية بشكل فعال.
أنشأت شركة MITRE Corporation قائمة CVE في عام 1999 كفهرس مرجعي لتصنيف الثغرات الأمنية في البرمجيات والبرمجيات الثابتة. يساعد نظام CVE المؤسسات على مناقشة ومشاركة المعلومات المتعلقة بالثغرات في الأمن الإلكتروني، وتقييم مدى خطورة الثغرات الأمنية وجعل أنظمة الكمبيوتر أكثر أماناً.
يشرف مجلس CVE Editorial Board على برنامج CVE. ويضم مجلس الإدارة أعضاء من مؤسسات ذات صلة بالأمن الإلكتروني، وأعضاء من الأوساط الأكاديمية والمؤسسات البحثية والهيئات الحكومية وغيرها من الخبراء البارزين في مجال الأمن. إلى جانب مهام أخرى، يوافق المجلس على مصادر البيانات، وتغطية المنتجات، وأهداف التغطية لإدخالات قائمة CVE، ويدير التخصيص المستمر للإدخالات الجديدة.2
ترعى US-CERT في مكتب الأمن الإلكتروني والاتصالات في وزارة الأمن القومي الأمريكية برنامج نقاط الضعف والتعرض الشائعة.3
يعمل IBM® Concert على تمكين مالكي التطبيقات، ومهندسي موثوقية الموقع، من تحديد الأولويات بطريقة استباقية والتخفيف من آثار الثغرات الموجودة بالتطبيقات وتتبُّعها لضمان الحصول على عمليات مرنة.
يعرّف برنامج نقاط الضعف والتعرض الشائعة (CVE) الثغرة الأمنية على أنها "نقطة ضعف في المنطق الحسابي الموجود في عناصر البرمجيات والأجهزة والتي، عند استغلالها، تؤدي إلى تأثير سلبي على السرية أو السلامة أو التوافر." لذا فإن الثغرة الأمنية تشير إلى نقطة ضعف، مثل خطأ في الترميز، يمكن استخدامها من قبل المهاجمين للوصول غير المصرح به إلى الشبكات والأنظمة، وتثبيت برنامج ضار وتشغيل الرموز البرمجية وسرقة أو تدمير البيانات الحساسة. ويتيح التعرض ذلك الوصول.
تخيل الأمر وكأنه منزل: نقطة الضعف هي نافذة ذات قفل يسهل على اللص فتحه. التعرض هو نافذة نسي أحدهم إغلاقها.
لكي يتم اعتبارها ضمن نقاط الضعف والتعرض الشائعة، ولكي يتم تعيين معرّف CVE (CVE ID) لها، يجب أن تستوفي العيوب والأعطال الأمنية معايير معينة:
- قابل للإصلاح بشكل مستقل عن العيوب الأخرى: يجب أن يكون الخلل قابلاً للإصلاح بشكل منفصل عن الثغرات الأخرى.
- تم الإقرار به من قبل البائع أو تم توثيقه في تقرير عن الثغرة الأمنية: يجب أن يقر البائع بوجود الثغرة وأنها تؤثر سلباً على الأمن. أو يجب أن يكون هناك تقرير عن الثغرة الأمنية يوضح التأثير السلبي للخلل على الأمن وانتهاكه لسياسة أمن النظام المتأثر.
- يؤثر على قاعدة برمجية واحدة: يجب أن يؤثر الخطأ على قاعدة برمجية واحدة فقط (منتج واحد). العيوب التي تؤثر على أكثر من منتج واحد يتم تعيين نقاط ضعف وتعرض شائعة منفصلة لكل منتج.
تقوم هيئات ترقيم CVE (CNAs) بتعيين معرّفات CVE ونشر سجلات CVE ضمن نطاقات تغطية محددة. تقوم شركة MITRE بدور محرر وهيئة ترقيم CVE الأساسية (CNA). وتشمل هيئات ترقيم CVE الأخرى البائعين الذين يعملون في مجال أنظمة التشغيل (OS) وتكنولوجيا المعلومات (بما في ذلك IBM وMicrosoft وOracle) والباحثين في مجال الأمن والكيانات الأخرى المعتمدة. تعمل هيئات ترقيم CVE (CNAs) على أساس تطوعي. يوجد حاليًا 389 هيئة ترقيم CVE (CNA) من 40 دولة مختلفة.4
الجذور هي مؤسسات مصرح لها بتوظيف وتدريب وحوكمة هيئات ترقيم CVE (CNAs) أو الجذور الأخرى ضمن نطاق محدد.
جذور المستوى الأعلى هي الجذور ذات المستوى الأعلى على الإطلاق وهي مسؤولة عن "حوكمة وإدارة تسلسل هرمي محدد، بما في ذلك الجذور وهيئات ترقيم CVE (CNAs) داخل هذا التسلسل الهرمي".5 يوجد حاليًا اثنان من جذور المستوى الأعلى في برنامج CVE: شركة MITRE ووكالة الأمن الإلكتروني وأمن البنية التحتية (CISA).
يمكن العثور على معلومات إضافية حول بنية CVE هنا (محتوى الرابط موجود خارج ibm.com).
يمكن لأي شخص إرسال تقرير حول نقاط الضعف والتعرض الشائعة (CVE). غالبًا ما يتم اكتشاف الثغرات الأمنية من قبل باحثي الأمن الإلكتروني ومحترفي الأمن وبائعي البرمجيات وأعضاء مجتمع المصدر المفتوح ومستخدمي المنتجات من خلال وسائل مختلفة، مثل البحث المستقل، أو التقييمات الأمنية، أو فحص الثغرات الأمنية، أو أنشطة الاستجابة للحوادث، أو ببساطة استخدام المنتج. تقدم العديد من الشركات مكافأة على اكتشاف الأخطاء البرمجية—وهي مكافأة للعثور على الثغرات الموجودة في البرمجيات والإبلاغ عنها بشكل مسؤول.
وبمجرد تحديد ثغرة أمنية جديدة والإبلاغ عنها، يتم إرسالها إلى هيئة ترقيم CVE (CNA) لتقييمها. ثم يتم حجز CVE جديد للثغرة الأمنية. هذه هي الحالة الأولية لسجل CVE.
بعد فحص الثغرة الأمنية المعنية، يتم تقديم تفاصيل عن الثغرة الأمنية المعنية بما في ذلك المنتجات التي تؤثر عليها، وأي إصدارات محدّثة أو ثابتة للمنتج، ونوع الثغرة الأمنية وسببها الأساسي وتأثيرها ومرجع عام واحد على الأقل. عندما تتم إضافة عناصر البيانات هذه إلى سجل CVE، تقوم هيئة ترقيم CVE (CNA) بنشر السجل في قائمة CVE، مما يجعله متاحًا للجمهور.
ثم يصبح إدخال CVE بعد ذلك جزءًا من قائمة CVE الرسمية، حيث يمكن الوصول إليه من قبل متخصصي الأمن الإلكتروني والباحثين والبائعين والمستخدمين في جميع أنحاء العالم. يمكن للمؤسسات استخدام معرّفات CVE لتتبع وتحديد أولويات نقاط الضعف داخل بيئاتها، وتقييم مدى تعرضها لتهديدات محددة وتنفيذ تدابير التخفيف من المخاطر المناسبة.
تتضمن إدخالات CVE معرّف CVE، ووصفاً موجزاً للثغرة الأمنية والمراجع، بما في ذلك تقارير الثغرات الأمنية والإرشادات. تتكون معرّفات CVE من ثلاثة أجزاء:
- يبدأ معرف CVE بالبادئة "CVE"
- القسم الثاني هو سنة التعيين
- القسم الأخير من معرّف CVE هو معرّف متسلسل
يبدو المعرف الكامل بالشكل التالي: CVE-2024-12345. يساعد هذا المعرف الموحّد على ضمان الاتساق وقابلية التشغيل البيني عبر المنصات والمستودعات المختلفة، مما يمكّن الأطراف المعنية من الإشارة إلى معلومات ومشاركتها حول ثغرات أمنية محددة باستخدام "لغة مشتركة".
ترتبط سجلات CVE بواحدة من ثلاث حالات:
- محجوزة: هذه هي الحالة الأولية، التي يتم تعيينها لنقطة الضعف والتعرض الشائعة (CVE) قبل أن يتم الكشف عنها علنًا (وذلك أثناء قيام إحدى هيئات الترقيم CNA بفحص الثغرة الأمنية).
- منشورة: يحدث هذا عندما تقوم هيئة الترقيم CNA بجمع وإدخال البيانات المرتبطة بمعرف CVE ونشر السجل.
- مرفوضة: في هذه المرحلة، يجب عدم استخدام معرف CVE والسجل الخاص به. ومع ذلك، يبقى السجل المرفوض في قائمة CVE لإعلام المستخدمين بأن المعرف والسجل غير صالحين.
تتمثل إحدى الطرق التي يمكن للمؤسسات من خلالها تقييم مدى خطورة نقاط الضعف أو الثغرات الأمنية في استخدام نظام تسجيل نقاط الضعف الشائعة (CVSS). يعد نظام تسجيل نقاط الضعف الشائعة (CVSS)، الذي يديره منتدى فرق الاستجابة للحوادث والأمن (FIRST)، طريقة موحدة تستخدمها قاعدة البيانات الوطنية للثغرات الأمنية (NVD) وفرق الاستجابة للطوارئ الإلكترونية (CERTs) وغيرها لتقييم خطورة وتأثير الثغرات الأمنية المبلغ عنها. وهو منفصل عن نظام CVE ولكنه يُستخدم جنبًا إلى جنب مع نظام CVE: تمكّن تنسيقات سجلات CVE هيئات الترقيم (CNA) من إضافة درجة CVSS إلى سجلات CVE عند نشر السجلات في قائمة نقاط التعرض والتعرض الشائعة.6
يقوم نظام تسجيل نقاط الضعف الشائعة (CVSS) بتعيين درجة رقمية لنقاط الضعف تتراوح من 0.0 إلى 10، بناءً على قابلية الاستغلال ونطاق التأثير وغيرها من المقاييس الأخرى. كلما زادت الدرجة المخصصة للثغرة الأمنية، كانت المشكلة أكثر خطورة. تساعد هذه النتيجة المؤسسات في قياس مدى إلحاح معالجة نقطة ضعف معينة وتخصيص الموارد وفقًا لذلك. ليس من غير المألوف أن تستخدم المؤسسات أيضًا نظام تسجيل نقاط الضعف الخاص بها.
يتم احتساب درجات CVSS بناءً على درجات من ثلاث مجموعات من المقاييس—الأساسية والزمنية والبيئية—والتي تتضمن خصائص مختلفة للثغرة الأمنية.
تعتمد المؤسسات على درجات المقاييس الأساسية أكثر من غيرها، وتستخدم تصنيفات الخطورة العامة مثل تلك المتوفرة في قاعدة بيانات نقاط الضعف الوطنية الخاص بالمعهد الوطني الأمريكي للمعايير والتقنية (NIST)، درجة المقاييس الأساسية حصريًا دون غيرها. لا تأخذ درجة المقاييس الأساسية هذه في الاعتبار خصائص الثغرات أو نقاط الضعف التي تتغير بمرور الوقت (المقاييس الزمنية)، أو العوامل الواقعية مثل بيئة المستخدم أو التدابير التي اتخذتها المؤسسة لمنع استغلال الثغرة.
يتم تقسيم المقاييس الأساسية بمزيد من التفصيل إلى مقاييس القابلية للاستغلال ومقاييس التأثير:
- تتضمن مقاييس قابلية الاستغلال عوامل مثل ناقل الهجوم وتعقيد الهجوم والامتيازات المطلوبة.
- تشمل مقاييس التأثير مدى التأثير على السرية والتأثير على السلامة والتأثير على التوافر.7
تقيس المقاييس الزمنية الثغرة الأمنية في حالتها الحالية وتُستخدم للتعبير عن خطور التأثير مع تغيرها بمرور الوقت. كما تضم أي علاجات مثل التصحيحات المتاحة. يعد نضج رمز الاستغلال ومستوى المعالجة وثقة التقرير كلها مكونات للنتيجة المترية الزمنية.
تمكّن المقاييس البيئية المؤسسات من تعديل الدرجة الأساسية وفقًا لمتطلبات بيئتها الخاصة ومتطلبات الأمان. تساعد هذه الدرجة على وضع الثغرة الأمنية في سياق أوضح من حيث صلتها بالمؤسسة وتتضمن درجة متطلبات السرية ودرجة متطلبات السلامة ودرجة متطلبات التوافر. يتم حساب هذه المقاييس إلى جانب المقاييس الأساسية المعدلة التي تقيس البيئة المحددة (مثل ناقل الهجوم المعدل وتعقيد الهجوم المعدل) للوصول إلى درجة المقاييس البيئية.
يمثل برنامج نقاط الضعف والتعرض الشائعة (CVE) نهجاً تعاونياً ومنهجياً لتحديد وفهرسة ومعالجة نقاط الضعف والتعرضات في مجال الأمن الإلكتروني. من خلال تقديم نظام موحد لتحديد الثغرات الأمنية والإشارة إليها، يساعد CVE المؤسسات على تحسين إدارة نقاط الضعف بعدة طرق:
تساعد نقاط الضعف والتعرض الشائعة (CVE) المؤسسات في مناقشة ومشاركة المعلومات المتعلقة بالثغرة الأمنية باستخدام معرّف مشترك. على سبيل المثال، غالبًا ما تنشر الإرشادات الأمنية قوائم بنقاط الضعف والتعرض الشائعة (CVE)، إلى جانب درجات CVSS، والتي تستخدمها الشركات كأساس تبني عليه استراتيجيات إدارة المخاطر ودورات التخطيط للتصحيح.
تساعد نقاط الضعف والتعرض الشائعة (CVE) المؤسسات على إدارة المخاطر الأمنية بفعالية، وتعزيز رؤية التهديدات واستعلامات التهديدات وتعزيز وضع الأمن الإلكتروني العام في ظل مشهد تهديدات متزايدة التعقيد والديناميكية.
تعمل معرّفات CVE على تسهيل ربط البيانات وتمكين فرق تقنية المعلومات من فحص مصادر متعددة للحصول على معلومات حول ثغرة معينة.
تُستخدم قائمة CVE للمساعدة في تحديد أدوات الأمان الأفضل التي تناسب احتياجات مؤسسة ما ولإنشاء إستراتيجية إدارة المخاطر التي تأخذ بعين الاعتبار نقاط الضعف المعروفة والتأثير المحتمل لهذه المشكلات الأمنية على أنظمة المؤسسة وبياناتها. باستخدام هذه المعلومات، يمكن للمؤسسات تحديد مدى ملاءمة منتجات معينة لوضعها الأمني واتخاذ خطوات لتقليل تعرضها للهجمات الإلكترونية واختراق أمن البيانات.
CVE هو كتالوج لنقاط الضعف المعروفة في مجال الأمن الإلكتروني، حيث يكون معرّف CVE خاصاً بعيب برمجي واحد. وأما تعداد نقاط الضعف الشائعة (CWE) فهو مشروع لمجتمع تكنولوجيا المعلومات يسرد أنواعًا مختلفة، أو فئات من نقاط الضعف في الأجهزة والبرمجيات، مثل أخطاء المخازن المؤقتة، أو أخطاء المصادقة أو مشكلات وحدة المعالجة المركزية. قد تؤدي نقاط الضعف هذه إلى حدوث ثغرة أمنية.
يعمل IBM Concert على تمكين مالكي التطبيقات، ومهندسي موثوقية الموقع، من تحديد الأولويات بطريقة استباقية والتخفيف من آثار نقاط الضعف الموجودة بالتطبيقات وتتبُّعها لضمان الحصول على عمليات مرنة.
تتعاون ®IBM Security معك لمساعدتك على حماية عملك بتوفير مجموعة متطورة ومتكاملة تضم حلول الأمن الإلكتروني للمؤسسة وخدماته المدمجة بالذكاء الاصطناعي. ويستخدم نهجنا الحديث لاستراتيجية الأمن مبادئ الثقة الصفرية لمساعدتك على فتح أبواب النجاح في خضم عدم اليقين والتهديدات الإلكترونية.
يمكنك إنشاء التطبيقات ونشرها وتكرارها بأمان في كل مكان عن طريق تحويل عمليات التطوير إلى التطوير والأمن والعمليات، بما في ذلك الأشخاص والعمليات والأدوات.
يوفر IBM X-Force Threat Intelligence Index معارف بحثية وتوصيات أساسية لمساعدتك على الاستعداد للتصدي للهجمات بسرعة وفعالية أكبر.
تعد API أو واجهة برمجة التطبيقات هي مجموعة من القواعد أو البروتوكولات التي تمكّن تطبيقات البرامج من التواصل مع بعضها البعض لتبادل البيانات والميزات والوظائف.
الأتمتة هي تطبيق التقنية أو البرامج أو الروبوتات أو العمليات لتحقيق النتائج بأقل قدر من المدخلات البشرية.
يشير مصطلح "تطوير البرمجيات" إلى مجموعة من أنشطة علوم الحاسب التي تخص عملية إنشاء وتصميم ونشر ودعم البرمجيات.
إن اختبار أمن التطبيقات الديناميكي (DAST) هو طريقة اختبار للأمن الإلكتروني تستخدم لتحديد نقاط الضعف والتكوينات الخاطئة في تطبيقات الويب وواجهات برمجة التطبيقات وتطبيقات الأجهزة المحمولة مؤخرًا.
دورة حياة عملية إدارة الثغرات الأمنية هي عملية مستمرة لاكتشاف الثغرات الأمنية في أصول تقنية المعلومات الخاصة بالشركة وتحديد أولوياتها ومعالجتها.
الحواشي
1,2,3 “Common Vulnerabilities and Exposures—The Standard for Information Security Vulnerability Names,” cve.mitre.org. February 2016
4،6 cve.mitre.org، 2024
5 CVE glossary, cve.org, 2024
7 Common Vulnerability Scoring System Version 3.1 Calculator, FIRST.org, 2024