من خلال إطار العمل المفتوح هذا، تستطيع المؤسسات حساب درجة CVSS، وهي درجة عددية تمثِّل شدة الثغرة الأمنية. يتم تمثيل خصائص الثغرة التي ساهمت في درجة CVSS في سلسلة نصية تُعرَف باسم "سلسلة متجه CVSS".
منذ عام 2005، تم إصدار عدة إصدارات من CVSS. وتم إصدار النسخة الأحدث، CVSS v4.0، في عام 2022. يُدار إطار العمل هذا بواسطة المجموعة غير الربحية FIRST.org, Inc.، المعروفة أيضًا باسم منتدى فرق الاستجابة للحوادث والأمن.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
يُعَد CVSS أداة مهمة لإدارة الثغرات، والتي تتضمن الاكتشاف المستمر، وتحديد الأولويات، وحل الثغرات الأمنية في البنية التحتية لتكنولوجيا المعلومات والبرمجيات الخاصة بالمؤسسة. ويُعَد تحديد الأخطاء ونقاط الضعف في مجال الأمن الإلكتروني، مثل أخطاء تكوين جدار الحماية والأخطاء غير المصححة، وحلها أمرًا حساسًا لضمان الأداء الكامل للبنية التحتية لتكنولوجيا المعلومات والبرمجيات.
يمكن أن تشمل تدابير الحل ما يلي:
نظرًا لتعقيد أنظمة تكنولوجيا المعلومات الحديثة وحجم الثغرات والتهديدات الإلكترونية الكبير، قد يكون من الصعب على مديري تكنولوجيا المعلومات تحديد المشكلات التي يجب معالجتها وحلها أولًا.
وهنا يأتي دور CVSS كأداة قيمة: حيث يوفر لمديري تكنولوجيا المعلومات نهجًا منهجيًا لتقييم شدة الثغرة، ما يساعدهم على اتخاذ قراراتهم بشأن تحديد الأولويات والتخطيط لحل الثغرات في الأنظمة المتأثرة.1
وفقًا لموقع FIRST.org، يمكن دمج درجات CVSS في التقييمات، ولكن لا ينبغي استخدام التقييم CVSS بمفرده بدلًا من التقييم الشامل. تُوصي أدلة المستخدم الخاصة بإطار CVSS بأن تشمل التقييمات الشاملة عوامل تتجاوز نطاق CVSS.2
بدأ CVSS كمشروع بحثي بتكليف من المجلس الاستشاري الوطني للبنية التحتية (NIAC) في عام 2003. في ذلك الوقت، كان المشهد الخاص بتقييمات الثغرات البرمجية غير مترابط: حيث استخدم بائعو خدمات أمن الكمبيوتر والمجموعات غير الربحية إجراءات وقياسات مختلفة، ما أدى إلى مجموعة من أنظمة التقييم الفريدة، وغالبًا ما كانت ملكية، وكانت غير متوافقة مع بعضها.3 هذا التضارب جعل من الصعب على فرق الأمن في المجموعات المختلفة التعاون فيما بينها.4
أنشأ باحثو NIAC إطار العمل CVSS لتوحيد تقييمات الثغرات الأمنية. وتم تصميمه ليكون نظامًا مفتوحًا يمكن تخصيصه واعتماده من قِبَل أنظمة تكنولوجيا المعلومات والبيئات المختلفة.5
يتكون CVSS v4.0 من 4 مجموعات مقاييس.6
تمثِّل مجموعات المقاييس هذه خصائص ونوعيات مختلفة من الثغرات البرمجية. ضمن إطار العمل CVSS v4.0، يمكن وصف المجموعات على النحو التالي:
تمثِّل المقاييس الأساسية الصفات الجوهرية للثغرات التي تظل ثابتة عبر بيئات المستخدمين ومع مرور الوقت. تتكون المقاييس الأساسية من مجموعتين، مقاييس قابلية الاستغلال ومقاييس التأثير.
تُشير مقاييس قابلية الاستغلال إلى مدى سهولة استغلال الثغرة الأمنية بنجاح. وتتضمن أمثلة مقاييس قابلية الاستغلال ما يلي:
تمثِّل مقاييس التأثير نتائج الاستغلال الناجح، والتأثير في النظام المعرض للثغرة (مثل تطبيق البرمجيات أو نظام التشغيل) والتأثيرات اللاحقة في الأنظمة الأخرى. وتتضمن أمثلة مقاييس التأثير ما يلي:
تمثِّل مقاييس التهديد خصائص الثغرات التي تتغير مع مرور الوقت. ويُعَد نضج الاستغلال هو المقياس الأساسي في هذه الفئة، ويقيس احتمالية استهداف ثغرة معينة بالهجوم.
يتم تحديد قيمة مقياس نضج الاستغلال بناءً على توفر أكواد الاستغلال، وحالة تقنيات الاستغلال، والحالات الواقعية للهجمات. وتتضمن هذه القيم ما يلي:
عند عدم وجود معلومات تهديد موثوق بها لتحديد نضج الاستغلال، يتم استخدام القيمة الافتراضية "غير معرَّف".
تمثِّل مجموعة المقاييس البيئية خصائص الثغرات الأمنية الفريدة لبيئة المستخدم. ومثل مجموعة المقاييس الأساسية، تتضمن مجموعة المقاييس البيئية السرية والسلامة والتوافر، حيث يتم تعيين قيمة لكل مقياس تعكس أهمية الأصل المعرَّض للخطر في المؤسسة. وهذا يتناقض مع التركيز الجوهري للمقاييس الأساسية.
بالإضافة إلى ذلك، يمكن للمحللين، من خلال مجموعة المقاييس البيئية، تجاوز مختلف المقاييس الأساسية الأصلية بمقاييس أساسية معدلة إذا كان الوضع في بيئة معينة يوحي بأن هناك ما يبرر قيمة مختلفة.
ضع في اعتبارك سيناريو يتطلب فيه التكوين الافتراضي للتطبيق مصادقة للوصول، ولكن البيئة الرئيسية للتطبيق لا تتطلب مصادقة للمسؤولين. في هذه الحالة، القيمة الأساسية الأصلية لثغرة "الامتيازات المطلوبة" في التطبيق هي "عالية"، ما يعني أن مستوى عالٍ من الصلاحيات مطلوب للوصول إليها. ومع ذلك، فإن قيمة "الامتيازات المطلوبة" المعدلة ستكون "لا شيء" لأن المهاجمين يمكنهم نظريًا استغلال الثغرة من خلال تولي وظائف إدارية.
توفِّر مجموعة المقاييس التكميلية معلومات إضافية حول الخصائص الخارجية للثغرات، مع التركيز على المشكلات التي تتجاوز الخطورة التقنية. وتتضمن أمثلة المقاييس التكميلية ما يلي:
تختلف إصدارات CVSS من حيث المقاييس المضمَّنة فيها. على سبيل المثال، تُعدَ مجموعة المقاييس التكميلية إضافة جديدة نسبيًا إلى CVSS، إذ لم تتضمن الإصدارات السابقة من CVSS (CVSS v1 وCVSS v2 وCVSS v3 وCVSS v3.1) هذه المجموعة من المقاييس.
ومع ذلك، تضمنت الإصدارات الأقدم من CVSS مقاييس أخرى، مثل "الثقة في التقرير" و"مستوى المعالجة"، والتي تنتمي إلى مجموعة مقاييس تُسمَّى المقاييس الزمنية. وقد حلَّت فئة مقاييس التهديد في CVSS v4.0 محل مجموعة المقاييس الزمنية في الإصدارات السابقة.
يُعَد CVSS v4.0 أيضًا أكثر تفصيلًا في مقاييسه الأساسية، ما يُتيح فهمًا أشمل للثغرات.
تعكس الأنواع المختلفة من درجات CVSS مجموعات المقاييس المختلفة التي يتم أخذها في الاعتبار عند تقييم الثغرة الأمنية:
تتراوح جميع الدرجات من 0 إلى 10، حيث يمثِّل 0 أدنى مستوى من الخطورة و10 أعلى درجة ممكنة من الخطورة. لا تؤثِّر المقاييس التكميلية في درجات CVSS ولكن يمكن تضمينها في سلاسل متجهات CVSS v4.0.
قد تعطي الجهات المختلفة أولوية لمجموعات ودرجات مقاييس مختلفة. على سبيل المثال، غالبًا ما يحدد بائعو البرمجيات الدرجات الأساسية لمنتجاتهم، بينما قد تعتمد مجموعة المستهلكين على المقاييس للإشارة إلى التأثير المحتمل للثغرة الأمنية في بيئاتها.8
سلاسل متجهات CVSS هي تمثيلات نصية قابلة للقراءة آليًا لمجموعة من مقاييس CVSS الخاصة بثغرة معينة. تتوافق الاختصارات المختلفة داخل سلاسل المتجهات مع مقاييس محددة، ما يساعد على وضع درجة CVSS الخاصة بهذه الثغرة الأمنية في سياقها.9
على سبيل المثال، فإن ثغرة لها قيمة "متجه الهجوم" تساوي "L" (أي "محلي") ستتضمن "AV:L" في سلسلة المتجه الخاصة بها. إذا كانت تلك الثغرة الأمنية تتطلب أن يكون لدى المهاجم مستوى عالٍ من الامتيازات لاستغلالها بنجاح، فإن قيمة "الامتيازات المطلوبة" ستكون "H" (أي "عالية" وستتضمن سلسلة المتجهات الخاصة بها "PR:H".
في سلسلة المتجهات، يتم فصل كل قيمة في سلسلة المتجهات بشرطة مائلة للأمام ("/") ويجب إدراجها بترتيب محدد، كما هو محدد في إطار عمل CVSS. يمكن دمج القيم المختلفة من مجموعات المقاييس الأساسية والتهديدية والبيئية في 15 مليون سلسلة متجهات مختلفة.10
يمكن أن يكون CVSS مفيدًا في تقييم أنواع معينة من الثغرات الأمنية التي يتم اكتشافها عادةً في تطبيقات الذكاء الاصطناعي، مثل تسميم النماذج، أو هجمات حجب الخدمة أو الكشف عن المعلومات. ومع ذلك، قد يكون CVSS أقل فائدة في تقييم الثغرات المتعلقة بالذكاء الاصطناعي التي تتعلق في الغالب بالتحيز، أو الأخلاقيات أو القضايا القانونية، وفقًا لمؤسسة FIRST.org. وتتعلق مثل هذه الثغرات بالاستدلال، وعكس النماذج وحقن المطالبات.11
يُعَد CVSS إطار عمل لتقييم الثغرات، أما CVE (وهو اختصار لألثغرات والمخاطر الشائعة) فهو معجم للثغرات الأمنية التي تم الكشف عنها علنًا. يتم تخصيص معرِّفات فريدة تُسمَّى CVE IDs للثغرات المضمَّنة في برنامج CVE. يُدار البرنامج بواسطة مؤسسة MITRE غير الربحية وترعاه وزارة الأمن الداخلي الأمريكية.
يمكن تقييم شدة الثغرات المدرجة في برنامج CVE باستخدام إطار عمل CVSS. ومع ذلك، عندما يتعلق الأمر بالثغرات المنشورة بواسطة CVE، قد تختار مؤسسات CVE عدم القيام بحساباتها الخاصة والاعتماد بدلًا من ذلك على درجات CVSS المقدَّمة من قاعدة بيانات الثغرات الوطنية (NVD). تُعَد NVD مستودع معايير لبيانات إدارة الثغرات من المعهد الوطني الأمريكي للمعايير والتقنية (NIST). تستضيف NVD قاعدة بيانات قابلة للبحث عبر الإنترنت تحتوي على الثغرات التي تم تحديدها بواسطة CVE ومرفقة بمعلومات إضافية، بما في ذلك درجات CVSS الأساسية وسلاسل المتجهات.
يمكن للمؤسسات استخدام الآلات الحاسبة عبر الإنترنت لتحديد عدة أنواع من درجات CVSS، بما في ذلك درجات CVSS استنادًا إلى الإصدارات القديمة من CVSS. تتوفر حاسبات CVSS على مواقع CVSS وNVD. تتضمن وثائق CVSS توصية بأن تستخدِم المؤسسات الأتمتة لمسح التهديدات من أجل توجيه الجزء الخاص بالمقاييس التهديدية والبيئية في التقييم.12
يمكن للمؤسسات أيضًا الاستفادة من أدوات ومنصات إدارة الثغرات التي تتضمن تقييمات CVSS. تُشير الحلول الرائدة في برامج تقييم الثغرات إلى درجات CVSS من بين عدة عوامل رئيسية، بما في ذلك معايير الامتثال، وأدلة أمن الموردين، وأبحاث المجالات. وقد تتضمن هذه الحلول أيضًا ميزات مدعومة بالذكاء الاصطناعي مثل اكتشاف البيانات في الوقت الفعلي والذي يمكن أن يساعد في تحسين استجابة مجموعة للحوادث وإدارة الخصوصية .
1 “The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems." Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology. أغسطس 2007.
2 “Common Vulnerability Scoring System v3.1: User Guide." FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
3، 5 “Common Vulnerability Scoring System: Final Report and Recommendations by the Council." National Infrastructure Advisory Council. 12 أكتوبر 2004.
4 “Introduction to CVSS.” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
6، 7، 8، 9، 10 “Common Vulnerability Scoring System version 4.0: Specification Document.” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
11، 12 “Common Vulnerability Scoring System v4.0: Frequently Asked Questions (FAQ).” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.