إدارة الثغرات الأمنية، وهي مجال فرعي من إدارة مخاطر تكنولوجيا المعلومات، هي الاكتشاف المستمر وتحديد الأولويات وحل الثغرات الأمنية في البنية التحتية لتكنولوجيا المعلومات والبرمجيات في المؤسسة.
الثغرة الأمنية هي أي عيب أو ضعف في هيكل أو وظيفة أو تطبيق شبكة أو أصل متصل بالشبكة يمكن للمتسللين استغلاله لشنّ هجمات إلكترونية أو الحصول على وصول غير مصرح به إلى الأنظمة أو البيانات أو إلحاق ضرر آخر بالمؤسسة.
ومن الأمثلة على الثغرات الشائعة سوء إعدادات جدار الحماية التي قد تسمح لأنواع معينة من البرامج الضارة بالدخول إلى الشبكة أو الأخطاء غير المصححة في بروتوكول سطح المكتب البعيد لنظام التشغيل والتي قد تسمح للمتسللين بالاستيلاء على الجهاز.
شبكات المؤسسات اليوم موزعة للغاية، ويتم اكتشاف العديد من الثغرات الأمنية الجديدة يوميًا، ما يجعل الإدارة اليدوية أو المخصصة للثغرات الأمنية شبه مستحيلة. تعتمد فرق الأمن الإلكتروني عادةً على حلول إدارة الثغرات الأمنية لأتمتة العملية.
يدرج Center for Internet Security (CIS) إدارة الثغرات الأمنية المستمرة كواحدة من ضوابط الأمن الحرجة للدفاع ضد الهجمات الإلكترونية الأكثر شيوعًا. تسمح إدارة الثغرات الأمنية لفرق أمن تكنولوجيا المعلومات بتبنّي وضع أمني أكثر استباقية من خلال تحديد الثغرات الأمنية وحلها قبل أن يتم استغلالها.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
نظرًا لإمكانية ظهور ثغرات أمنية جديدة في أي وقت، تتعامل فرق الأمن مع إدارة الثغرات الأمنية باعتبارها دورة حياة مستمرة وليست حدثًا منفصلًا. تتضمن دورة الحياة هذه خمسة عمليات سير عمل مستمرة ومتداخلة: الاكتشاف، والتصنيف وتحديد الأولويات، والمعالجة، وإعادة التقييم وإعداد التقارير.
تتمحور عملية اكتشاف الثغرات الأمنية حول تقييم الثغرات، وهي عملية للتحقق من جميع أصول تكنولوجيا المعلومات الخاصة بالمؤسسة بحثًا عن الثغرات المعروفة والمحتملة. وعادةً ما تعمل فرق الأمن على أتمتة هذه العملية باستخدام برامج فحص الثغرات الأمنية. تعمل بعض برامج فحص الثغرات الأمنية على إجراء عمليات فحص دورية وشاملة للشبكة وفق جدول زمني منتظم، بينما يستخدم البعض الآخر وكلاء مثبَّتين على أجهزة الكمبيوتر المحمولة وأجهزة التوجيه ونقاط النهاية الأخرى لجمع البيانات حول كل جهاز. يمكن لفرق الأمن أيضًا استخدام تقييمات الثغرات الأمنية العرضية، مثل اختبار الاختراق، لتحديد الثغرات التي تفلت من الفحص.
بمجرد تحديد الثغرات الأمنية، يتم تصنيفها حسب النوع (على سبيل المثال، التكوينات الخطأ للأجهزة، والمشكلات في التشفير، وكشف البيانات الحساسة) وتحديد أولوياتها حسب مستوى الخطورة. توفِّر هذه العملية تقديرًا لشدة كل ثغرة أمنية، وقابليتها للاستغلال، واحتمالية وقوع هجوم.
تعتمد حلول إدارة الثغرات الأمنية عادةً على مصادر استعلامات التهديدات مثل نظام تقييم الثغرات الشائعة (CVSS)، وهو معيار مفتوح في صناعة الأمن الإلكتروني، لتسجيل مدى خطورة الثغرات الأمنية المعروفة على مقياس من 0 إلى 10. ومن مصادر الاستعلامات الشائعة الأخرى قائمة MITRE للثغرات والتعرضات الشائعة (CVEs) وقاعدة بيانات الثغرات الوطنية (NVD) التابعة للمعهد الوطني الأمني للمعايير والتقنية (NIST).
بمجرد تحديد أولويات الثغرات الأمنية، يمكن لفرق الأمن حلها بإحدى الطرق الثلاث التالية:
عندما يتم حلّ الثغرات الأمنية، تُجري فرق الأمن تقييمًا جديدًا للثغرات الأمنية للتأكد من نجاح جهود التخفيف أو التقييم وعدم إدخال أي ثغرات جديدة.
عادةً ما توفِّر منصات إدارة الثغرات الأمنية لوحات معلومات لإعداد تقارير حول مقاييس مثل متوسط الوقت للكشف (MTTD) ومتوسط الوقت للاستجابة (MTTR). تحتفظ العديد من الحلول أيضًا بقواعد بيانات للثغرات الأمنية التي تم تحديدها، ما يسمح لفرق الأمن بتتبُّع حل الثغرات الأمنية المحددة ومراجعة جهود إدارة الثغرات الأمنية السابقة.
تمكِّن قدرات إعداد التقارير هذه فرق الأمن من تأسيس خط أساس لأنشطة إدارة الثغرات الأمنية المستمرة ومراقبة أداء البرنامج بمرور الوقت. يمكن أيضًا استخدام التقارير في مشاركة المعلومات بين فريق الأمن وفرق تكنولوجيا المعلومات الأخرى التي قد تكون مسؤولة عن إدارة الأصول ولكنها غير مشاركة بشكل مباشر في عملية إدارة الثغرات الأمنية.
إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) هي مقاربة جديدة نسبيًا لإدارة الثغرات الأمنية. تجمع RBVM بيانات الثغرات الأمنية الخاصة بالأطراف المعنية مع قدرات الذكاء الاصطناعي والتعلم الآلي لتعزيز إدارة الثغرات الأمنية بثلاث طرق مهمة.
المزيد من السياق لتحديد الأولويات بشكل أكثر فاعلية. تحدِّد حلول إدارة الثغرات الأمنية التقليدية مدى خطورة الثغرات الأمنية باستخدام موارد قياسية في الصناعات مثل CVSS أو NIST NVD. تعتمد هذه الموارد على العموميات التي يمكن أن تحدِّد متوسط خطورة الثغرة الأمنية في جميع المؤسسات. لكنها تفتقر إلى بيانات الثغرات الأمنية الخاصة بالأطراف المعنية، ما قد يؤدي إلى تحديد أولويات خطأ -مبالغة أو تقليل- في تقييم خطورة الثغرة الأمنية بالنسبة لشركة معينة.
على سبيل المثال، نظرًا لعدم امتلاك أي فريق أمني الوقت أو الموارد اللازمة لمعالجة كل ثغرة أمنية في شبكته، فإن العديد منهم يعطي الأولوية للثغرات الأمنية ذات درجة "عالية" (7.0-8.9) أو "حرجة" (9.0-10.0) في نظام CVSS. ومع ذلك، إذا كانت هناك ثغرة أمنية "حرجة" موجودة في أصل لا يخزّن أو يعالج أي معلومات حساسة، أو لا يوفر أي مسارات إلى أجزاء الشبكة ذات القيمة العالية، فقد لا تستحق المعالجة.
يمكن أن تشكِّل الثغرات الأمنية ذات درجات CVSS المنخفضة تهديدًا أكبر لبعض المؤسسات مقارنةً بغيرها. تم تصنيف ثغرة "Heartbleed"، التي تم اكتشافها في عام 2014، على أنها "متوسطة" (5.0) على مقياس CVSS. ومع ذلك، استخدمها المتسللون لتنفيذ هجمات واسعة النطاق، مثل سرقة بيانات 4.5 ملايين مريض من إحدى أكبر سلاسل المستشفيات في الولايات المتحدة.
تكمِّل إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) تسجيل النقاط ببيانات الثغرات الأمنية الخاصة بالأطراف المعنية، وعدد الأصول المتأثرة ومدى أهميتها، وكيفية اتصال الأصول ببعضها، والضرر المحتمل الذي قد يسببه استغلال الثغرة الأمنية بالإضافة إلى بيانات حول كيفية تفاعل مجرمي الإنترنت مع الثغرات الأمنية في العالم الحقيقي. وتستخدم التعلم الآلي لصياغة درجات المخاطر التي تعكس بدقة أكبر مخاطر كل ثغرة على المؤسسة على وجه التحديد. وهذا يمكِّن فرق أمن تكنولوجيا المعلومات من إعطاء الأولوية لعدد أقل من الثغرات الأمنية الخطيرة دون التضحية بأمن الشبكة.
الاكتشاف في الوقت الفعلي.في إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، غالبًا ما يتم إجراء عمليات فحص الثغرات الأمنية في الوقت الفعلي بدلًا من جدول زمني متكرر. بالإضافة إلى ذلك، يمكن لحلول إدارة الثغرات الأمنية القائمة على المخاطر مراقبة مجموعة أوسع من الأصول: فبينما تقتصر برامج الفحص التقليدية للثغرات الأمنية عادةً على الأصول المعروفة المتصلة مباشرةً بالشبكة، يمكن لأدوات إدارة الثغرات الأمنية القائمة على المخاطر عادةً فحص الأجهزة المحمولة المحلية والبعيدة، والأصول السحابية، وتطبيقات الطرف الثالث، والموارد الأخرى.
إعادة التقييم المؤتمتة. في عملية RBVM، يمكن أتمتة إعادة التقييم عن طريق المسح المستمر للثغرات الأمنية. في إدارة الثغرات الأمنية التقليدية، قد تتطلب إعادة التقييم فحصًا متعمدًا للشبكة أو اختبار اختراق.
ترتبط إدارة الثغرات الأمنية بشكل وثيق مع إدارة سطح الهجوم (ASM). وتُعَد إدارة سطح الهجوم الاكتشاف المستمر والتحليل والمعالجة والمراقبة للثغرات الأمنية ونواقل الهجوم المحتملة التي تشكِّل سطح الهجوم للمؤسسة. ويكمن الاختلاف الأساسي بين إدارة سطح الهجوم وإدارة الثغرات الأمنية في النطاق. فبينما تراقب العمليتان وتعالجان الثغرات الأمنية في أصول المؤسسة، تتخذ إدارة سطح الهجوم نهجًا أكثر شمولية لأمن الشبكات.
تشمل حلول إدارة سطح الهجوم (ASM) قدرات اكتشاف الأصول التي تحدِّد وتراقب جميع الأصول المعروفة وغير المعروفة والجهات الخارجية والتابعة والخبيثة المتصلة بالشبكة. يتجاوز نظام إدارة سطح الهجوم أيضًا أصول تكنولوجيا المعلومات لتحديد الثغرات الأمنية في أسطح هجوم الهندسة الفيزيائية والاجتماعية للمؤسسة. ثم تحلِّل هذه الأصول والثغرات الأمنية من منظور المتسللين لفهم كيف يمكن للمجرمين الإلكترونيين استخدامها للتسلل إلى الشبكة.
مع ظهور إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، أصبحت الخطوط الفاصلة بين إدارة الثغرات الأمنية وإدارة سطح الهجوم (ASM) غير واضحة بشكل متزايد. غالبًا ما تنشر المؤسسات منصات إدارة سطح الهجوم كجزء من حلول إدارة الثغرات الأمنية القائمة على المخاطر لديها، لأن إدارة سطح الهجوم توفِّر رؤية أكثر شمولية لسطح الهجوم مقارنةً بإدارة الثغرات الأمنية وحدها.