ما المقصود بنقاط الضعف والتعرض الشائعة (CVE)؟

المؤلفون

Tasmiha Khan

Writer

Staff Editor, Automation & ITOps

IBM Think

ما المقصود بالثغرات الأمنية الشائعة والتعرض إليها (CVE)؟

تشير نقاط الضعف والتعرض الشائعة (CVE) بشكل عام إلى قائمة CVE، وهي كتالوج معلن للثغرات الأمنية التي تهدد أمن المعلومات التي أنشأتها وتقوم على رعايتها MITRE Corporation.

يعد كتالوج نقاط الضعف والتعرض الشائعة (CVE) أشبه بقاموس أكثر من كونه قاعدة بيانات لنقاط الضعف والتعرض الشائعة. حيث يوفر اسمًا واحدًا ووصفًا واحدًا لكل ثغرة أو تعرض. وبذلك، فإنه يتيح الاتصال بين الأدوات وقواعد البيانات المتباينة ويساعد على تحسين قابلية التشغيل البيني والتغطية الأمنية. يتوفر كتالوج CVE بشكل مجاني ومتاح للتنزيل والاستخدام العام. تغذي قائمة CVE قاعدة بيانات الثغرات الأمنية الوطنية الأمريكية (NVD).

CVE، كمجموعة، هي "جهد مجتمعي دولي يحتفظ بسجل بيانات مفتوح يستند إلى المجتمع يحتوي على الثغرات المعروفة علنًا في الأمن الإلكتروني المعروف باسم قائمة الثغرات الأمنية الشائعة والتعرض إليها (CVE)".¹

يتمثل أحد التحديات الأساسية في مجال الأمن الإلكتروني في تحديد وتخفيف الثغرات التي يمكن أن يستغلها المتسللون لاختراق التطبيقات والأنظمة والبيانات. تساعد CVE على معالجة هذا التحدي من خلال توفير إطار عمل قياسي موحَّد لفهرسة وتتبُّع ثغرات الأمن الإلكتروني، والذي يمكن للمؤسسات استخدامه لتحسين عمليات إدارة الثغرات الأمنية.

يستخدم نظام CVE معرّفات فريدة من نوعها تُعرف باسم معرّفات CVE (تسمى أحيانًا أرقام CVE) لتسمية كل ثغرة أو نقطة ضعف تم الإبلاغ عنها. ويسهل ذلك التواصل والتعاون وإدارة التدفقات الأمنية بشكل فعال.

أنشأت شركة MITRE Corporation قائمة CVE في عام 1999 كفهرس مرجعي لتصنيف الثغرات الأمنية في البرمجيات والبرمجيات الثابتة. يساعد نظام CVE المؤسسات على مناقشة ومشاركة المعلومات المتعلقة بالثغرات في الأمن الإلكتروني، وتقييم مدى خطورة الثغرات الأمنية وجعل أنظمة الكمبيوتر أكثر أماناً.

يشرف مجلس CVE Editorial Board على برنامج CVE. ويضم مجلس الإدارة أعضاء من مؤسسات ذات صلة بالأمن الإلكتروني، وأعضاء من الأوساط الأكاديمية والمؤسسات البحثية والهيئات الحكومية وغيرها من الخبراء البارزين في مجال الأمن. إلى جانب مهام أخرى، يوافق المجلس على مصادر البيانات، وتغطية المنتجات، وأهداف التغطية لإدخالات قائمة CVE، ويدير التخصيص المستمر للإدخالات الجديدة.²

ترعى US-CERT في مكتب الأمن الإلكتروني والاتصالات في وزارة الأمن القومي الأمريكية برنامج الثغرات الأمنية الشائعة والتعرض إليها (CVE).³

رسائل Think الإخبارية

هل سيستطيع فريقك اكتشاف الثغرة الأمنية الفورية القادمة في الوقت المناسب؟

انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.

الثغرات الأمنية مقابل نقاط الضعف المكشوفة

يعرّف برنامج CVE الثغرة الأمنية على أنها "نقطة ضعف في المنطق الحسابي الموجود في عناصر البرمجيات والأجهزة والتي، عند استغلالها، تؤدي إلى تأثير سلبي في السرية أو السلامة أو التوافر". لذا فإن الثغرة الأمنية تُشير إلى نقطة ضعف، مثل خطأ في الترميز، يمكن استخدامها من قِبَل المهاجمين للوصول غير المصرح به إلى الشبكات والأنظمة، وتثبيت برنامج ضار وتشغيل الرموز البرمجية وسرقة أو تدمير البيانات الحساسة. ويُتيح التعرّض ذلك الوصول.

تخيل الأمر وكأنه منزل: نقطة الضعف هي نافذة ذات قفل يسهل على اللص فتحه. التعرض هو نافذة نسي أحدهم إغلاقها.

ما الذي يمكن اعتباره ضمن نقاط الضعف والتعرض الشائعة؟

لكي يتم اعتبارها ضمن نقاط الضعف والتعرض الشائعة، ولكي يتم تعيين معرّف CVE (CVE ID) لها، يجب أن تستوفي العيوب والأعطال الأمنية معايير معينة:

قابل للإصلاح بشكل مستقل عن العيوب الأخرى: يجب أن يكون الخلل قابلاً للإصلاح بشكل منفصل عن الثغرات الأخرى.
تم الإقرار به من قبل البائع أو تم توثيقه في تقرير عن الثغرة الأمنية: يجب أن يقر البائع بوجود الثغرة وأنها تؤثر سلباً على الأمن. أو يجب أن يكون هناك تقرير عن الثغرة الأمنية يوضح التأثير السلبي للخلل على الأمن وانتهاكه لسياسة أمن النظام المتأثر.
يؤثر على قاعدة برمجية واحدة: يجب أن يؤثر الخطأ على قاعدة برمجية واحدة فقط (منتج واحد). العيوب التي تؤثر على أكثر من منتج واحد يتم تعيين نقاط ضعف وتعرض شائعة منفصلة لكل منتج.

كيف يتم تعيين معرّفات نقاط الضعف والتعرض الشائعة (CVE IDs): هيئات ترقيم CVE (CNAs) والجذور

تعمل هيئات ترقيم CVE (CNAs) على تعيين معرّفات CVE ونشر سجلات CVE ضمن نطاقات تغطية محددة. وتعمل شركة MITRE في دور محرر وهيئة ترقيم CVE الأساسية (CNA). وتشمل هيئات ترقيم CVE الأخرى البائعين الذين يعملون في مجال أنظمة التشغيل (OS) وتكنولوجيا المعلومات (بما في ذلك IBM وMicrosoft وOracle) والباحثين في مجال الأمن والكيانات الأخرى المعتمدة. تعمل هيئات ترقيم CVE (CNAs) على أساس تطوعي. يوجد حاليًا 389 هيئة ترقيم CVE (CNA) من 40 دولة مختلفة.⁴

الجذور وجذور المستوى الأعلى

الجذور هي مؤسسات مصرح لها بتوظيف وتدريب وحوكمة هيئات ترقيم CVE (CNAs) أو الجذور الأخرى ضمن نطاق محدد.

جذور المستوى الأعلى هي الجذور ذات المستوى الأعلى على الإطلاق وهي مسؤولة عن "حوكمة وإدارة تسلسل هرمي محدد، بما في ذلك الجذور وهيئات ترقيم CVE (CNAs) داخل هذا التسلسل الهرمي".⁵يوجد حاليًا اثنان من جذور المستوى الأعلى في برنامج CVE: شركة MITRE ووكالة الأمن الإلكتروني وأمن البنية التحتية (CISA).

يمكنك العثور على معلومات إضافية حول هيكل مجموعة CVE هنا.

دورة حياة سجل CVE

يمكن لأي شخص إرسال تقرير حول الثغرات الأمنية الشائعة والتعرض إليها (CVE). غالبًا ما يتم اكتشاف الثغرات الأمنية من قِبَل باحثي الأمن الإلكتروني ومحترفي الأمن وبائعي البرمجيات وأعضاء مجتمع المصدر المفتوح ومستخدمي المنتجات من خلال وسائل مختلفة، مثل البحث المستقل أو التقييمات الأمنية أو فحص الثغرات الأمنية أو أنشطة الاستجابة للحوادث أو ببساطة استخدام المنتج. يقدِّم العديد من الشركات مكافآت عن الأخطاء البرمجية، وهي جوائز لمن يكتشف الثغرات في البرمجيات ويبلغ عنها بشكل مسؤول.

وبمجرد تحديد ثغرة أمنية جديدة والإبلاغ عنها، يتم إرسالها إلى هيئة ترقيم CVE (CNA) لتقييمها. ثم يتم حجز CVE جديد للثغرة الأمنية. هذه هي الحالة الأولية لسجل CVE.

بعد فحص الثغرة الأمنية المعنية، يتم تقديم تفاصيل عن الثغرة الأمنية المعنية بما في ذلك المنتجات التي تؤثر عليها، وأي إصدارات محدّثة أو ثابتة للمنتج، ونوع الثغرة الأمنية وسببها الأساسي وتأثيرها ومرجع عام واحد على الأقل. عندما تتم إضافة عناصر البيانات هذه إلى سجل CVE، تقوم هيئة ترقيم CVE (CNA) بنشر السجل في قائمة CVE، مما يجعله متاحًا للجمهور.

ثم يصبح إدخال CVE بعد ذلك جزءًا من قائمة CVE الرسمية، حيث يمكن الوصول إليه من قبل متخصصي الأمن الإلكتروني والباحثين والبائعين والمستخدمين في جميع أنحاء العالم. يمكن للمؤسسات استخدام معرّفات CVE لتتبع وتحديد أولويات نقاط الضعف داخل بيئاتها، وتقييم مدى تعرضها لتهديدات محددة وتنفيذ تدابير التخفيف من المخاطر المناسبة.

معرّفات CVE (CVE IDs) وسجلات CVE

تتضمن إدخالات CVE معرّف CVE، ووصفاً موجزاً للثغرة الأمنية والمراجع، بما في ذلك تقارير الثغرات الأمنية والإرشادات. تتكون معرّفات CVE من ثلاثة أجزاء:

يبدأ معرف CVE بالبادئة "CVE"
القسم الثاني هو سنة التعيين
القسم الأخير من معرّف CVE هو معرّف متسلسل

يبدو المعرف الكامل بالشكل التالي: CVE-2024-12345. يساعد هذا المعرف الموحّد على ضمان الاتساق وقابلية التشغيل البيني عبر المنصات والمستودعات المختلفة، مما يمكّن الأطراف المعنية من الإشارة إلى معلومات ومشاركتها حول ثغرات أمنية محددة باستخدام "لغة مشتركة".

ترتبط سجلات CVE بواحدة من ثلاث حالات:

محجوزة: هذه هي الحالة الأولية، التي يتم تعيينها لـ CVE قبل أن يتم الكشف عنها علنًا (وذلك أثناء قيام إحدى هيئات الترقيم CNA بفحص الثغرة الأمنية).
منشورة: يحدث هذا عندما تقوم هيئة الترقيم CNA بجمع وإدخال البيانات المرتبطة بمعرف CVE ونشر السجل.
مرفوضة: في هذه المرحلة، يجب عدم استخدام معرِّف CVE والسجل الخاص به. ومع ذلك، يبقى السجل المرفوض في قائمة CVE لإعلام المستخدمين بأن المعرِّف والسجل غير صالحين.

ما المقصود بنظام تسجيل الثغرات الشائعة (CVSS)؟

تتمثل إحدى الطرق التي يمكن للمؤسسات من خلالها تقييم مدى خطورة نقاط الضعف أو الثغرات الأمنية في استخدام نظام تسجيل الثغرات الأمنية الشائعة (CVSS). يُعَد نظام تسجيل الثغرات الأمنية الشائعة (CVSS)، الذي يديره منتدى فرق الاستجابة للحوادث والأمن (FIRST)، طريقة موحَّدة تستخدمها قاعدة البيانات الوطنية للثغرات الأمنية (NVD) وفرق الاستجابة للطوارئ الإلكترونية (CERTs) وغيرها لتقييم خطورة وتأثير الثغرات الأمنية المبلغ عنها. وهو منفصل عن نظام CVE ولكنه يُستخدم جنبًا إلى جنب مع نظام CVE: تمكِّن تنسيقات سجلات CVE هيئات الترقيم (CNA) من إضافة درجة CVSS إلى سجلات CVE عند نشر السجلات في قائمة CVE.^‏6

يقوم نظام تسجيل نقاط الضعف الشائعة (CVSS) بتعيين درجة رقمية لنقاط الضعف تتراوح من 0.0 إلى 10، بناءً على قابلية الاستغلال ونطاق التأثير وغيرها من المقاييس الأخرى. كلما زادت الدرجة المخصصة للثغرة الأمنية، كانت المشكلة أكثر خطورة. تساعد هذه النتيجة المؤسسات في قياس مدى إلحاح معالجة نقطة ضعف معينة وتخصيص الموارد وفقًا لذلك. ليس من غير المألوف أن تستخدم المؤسسات أيضًا نظام تسجيل نقاط الضعف الخاص بها.

يتم احتساب درجات CVSS بناءً على درجات من ثلاث مجموعات من المقاييس—الأساسية والزمنية والبيئية—والتي تتضمن خصائص مختلفة للثغرة الأمنية.

المقاييس الأساسية

تعتمد المؤسسات على درجات المقاييس الأساسية أكثر من غيرها، وتستخدم تصنيفات الخطورة العامة مثل تلك المتوفرة في قاعدة بيانات نقاط الضعف الوطنية الخاص بالمعهد الوطني الأمريكي للمعايير والتقنية (NIST)، درجة المقاييس الأساسية حصريًا دون غيرها. لا تأخذ درجة المقاييس الأساسية هذه في الاعتبار خصائص الثغرات أو نقاط الضعف التي تتغير بمرور الوقت (المقاييس الزمنية)، أو العوامل الواقعية مثل بيئة المستخدم أو التدابير التي اتخذتها المؤسسة لمنع استغلال الثغرة.

يتم تقسيم المقاييس الأساسية بمزيد من التفصيل إلى مقاييس القابلية للاستغلال ومقاييس التأثير:

تتضمن مقاييس قابلية الاستغلال عوامل مثل ناقل الهجوم وتعقيد الهجوم والامتيازات المطلوبة.
تشمل مقاييس التأثير مدى التأثير في السرية والتأثير في السلامة والتأثير في التوافر.⁷

المقاييس الزمنية

تقيس المقاييس الزمنية الثغرة الأمنية في حالتها الحالية وتُستخدم للتعبير عن خطور التأثير مع تغيرها بمرور الوقت. كما تضم أي علاجات مثل التصحيحات المتاحة. يعد نضج رمز الاستغلال ومستوى المعالجة وثقة التقرير كلها مكونات للنتيجة المترية الزمنية.

المقاييس البيئية

تمكّن المقاييس البيئية المؤسسات من تعديل الدرجة الأساسية وفقًا لمتطلبات بيئتها الخاصة ومتطلبات الأمان. تساعد هذه الدرجة على وضع الثغرة الأمنية في سياق أوضح من حيث صلتها بالمؤسسة وتتضمن درجة متطلبات السرية ودرجة متطلبات السلامة ودرجة متطلبات التوافر. يتم حساب هذه المقاييس إلى جانب المقاييس الأساسية المعدلة التي تقيس البيئة المحددة (مثل ناقل الهجوم المعدل وتعقيد الهجوم المعدل) للوصول إلى درجة المقاييس البيئية.

تأثير نقاط الضعف والتعرض الشائعة (CVE) على إدارة نقاط الضعف

يمثل برنامج الثغرات الأمنية الشائعة والتعرض إليها (CVE) نهجًا تعاونيًا ومنهجيًا لتحديد وفهرسة ومعالجة الثغرات الأمنية والتعرّضات في مجال الأمن الإلكتروني. من خلال تقديم نظام موحَّد لتحديد الثغرات الأمنية والإشارة إليها، يساعد CVE المؤسسات على تحسين إدارة الثغرات الأمنية بعدة طرق:

مشاركة المعلومات

تساعد نقاط الضعف والتعرض الشائعة (CVE) المؤسسات في مناقشة ومشاركة المعلومات المتعلقة بالثغرة الأمنية باستخدام معرّف مشترك. على سبيل المثال، غالبًا ما تنشر الإرشادات الأمنية قوائم بنقاط الضعف والتعرض الشائعة (CVE)، إلى جانب درجات CVSS، والتي تستخدمها الشركات كأساس تبني عليه استراتيجيات إدارة المخاطر ودورات التخطيط للتصحيح.

تقوية وضع الأمن الإلكتروني

يساعد برنامج CVE المؤسسات على إدارة المخاطر الأمنية بفاعلية، وتعزيز الرؤية حول التهديدات واستعلامات التهديدات، وتقوية موقفها العام في مجال الأمن الإلكتروني في ظل بيئة تهديدات متزايدة التعقيد والديناميكية.

ربط البيانات بشكل أفضل

تعمل معرّفات CVE على تسهيل ربط البيانات وتمكين فرق تقنية المعلومات من فحص مصادر متعددة للحصول على معلومات حول ثغرة معينة.

تحديد الأدوات والإستراتيجيات

تُستخدم قائمة CVE للمساعدة على تحديد أدوات الأمن الأفضل التي تناسب احتياجات المؤسسة ولإنشاء استراتيجية إدارة المخاطر التي تأخذ بعين الاعتبار الثغرات الأمنية المعروفة والتأثير المحتمل لهذه المشكلات الأمنية في أنظمة المؤسسة وبياناتها. باستخدام هذه المعلومات، يمكن للمؤسسات تحديد مدى ملاءمة منتجات معينة لوضعها الأمني واتخاذ خطوات لتقليل تعرّضها للهجمات الإلكترونية واختراق أمن البيانات.

نقاط الضعف والتعرض الشائعة (CVE) مقابل تعداد نقاط الضعف الشائعة (CWE)

CVE هو كتالوج لنقاط الضعف المعروفة في مجال الأمن الإلكتروني، حيث يكون معرّف CVE خاصاً بعيب برمجي واحد. وأما تعداد نقاط الضعف الشائعة (CWE) فهو مشروع لمجتمع تكنولوجيا المعلومات يسرد أنواعًا مختلفة، أو فئات من نقاط الضعف في الأجهزة والبرمجيات، مثل أخطاء المخازن المؤقتة، أو أخطاء المصادقة أو مشكلات وحدة المعالجة المركزية. قد تؤدي نقاط الضعف هذه إلى حدوث ثغرة أمنية.

تقرير تكلفة خرق البيانات لعام 2025

وصلت تكاليف اختراق أمن البيانات إلى مستوى مرتفع جديد. احصل على أحدث الرؤى حول تهديدات الأمن السيبراني وتأثيراتها المالية على المؤسسات.

الموارد

IBM® X-Force Threat Intelligence Index لعام 2025

احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام IBM X-Force Threat Intelligence Index.

IDC MarketScape: تقييم مزوِّدي خدمات استشارات الأمن الإلكتروني لعام 2025

اكتشِف سبب تصنيف IBM كإحدى الشركات الفاعلة الرئيسية، واحصل على رؤى تساعدك على اختيار مزوِّد خدمات استشارات الأمن الإلكتروني الأنسب لاحتياجات مؤسستك.

الأمن الإلكتروني في عصر الذكاء الاصطناعي التوليدي

تعرَّف على كيفية تغير الواقع الأمني اليوم وكيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مواجهة الأزمات.

تقرير مشهد التهديدات السحابية لمنصة IBM X-Force لعام 2024

تعرَّف على أحدث التهديدات وعزِّز دفاعاتك السحابية من خلال تقرير مشهد التهديدات السحابية لمنصة IBM X-Force.

ما المقصود بأمن البيانات؟

اكتشف كيف يساعد أمن البيانات على حماية المعلومات الرقمية من الوصول غير المصرح به أو التلف أو السرقة طوال دورة حياتها بأكملها.

ما المقصود بالهجوم الإلكتروني؟

الهجوم الإلكتروني هو جهد متعمد لسرقة البيانات أو التطبيقات أو غيرها من الأصول أو كشفها أو تغييرها أو تعطيلها أو إتلافها من خلال الوصول غير المصرح به.

حلول ذات صلة

حلول الأمن المؤسسي

طوّر برنامجك الأمني بشكل غير مسبوق بفضل الحلول المقدمة من أكبر موفري خدمات الأمن المؤسسي.

استكشف حلول الأمن الإلكتروني

خدمات الأمن الإلكتروني

يمكنك تحويل أعمالك وإدارة المخاطر من خلال الخدمات الاستشارية في الأمن الإلكتروني والخدمات السحابية وخدمات الأمان المُدارة.

استكشف خدمات الأمن الإلكتروني

الأمن الإلكتروني بالذكاء الاصطناعي (AI)

حسِّن سرعة الفرق الأمنية ودقتها وإنتاجيتها باستخدام حلول الأمن السيبراني المدعومة بالذكاء الاصطناعي.

استكشف الأمن السيبراني بالذكاء الاصطناعي

اتخِذ الخطوة التالية

سواء كنت بحاجة إلى حلول أمن البيانات أو إدارة نقاط النهاية أو إدارة الهوية والوصول (IAM)، فإن خبرائنا مستعدون للعمل معك لتحقيق وضع أمني قوي. طوّر أعمالك وتمكّن من إدارة المخاطر في مؤسستك مع شركة عالمية رائدة في مجال استشارات الأمن السيبراني، والخدمات السحابية، والخدمات الأمنية المُدارة.

استكشف حلول الأمن الإلكتروني

اكتشف خدمات الأمن السيبراني

الحواشي

¹“Common Vulnerabilities and Exposures—The Standard for Information Security Vulnerability Names,” cve.mitre.org. February 2016

² cve.mitre.org, 2024
³ CVE glossary, cve.org, 2024

⁴Common Vulnerability Scoring System Version 3.1 Calculator, FIRST.org, 2024