ما دورة حياة عملية إدارة الثغرات الأمنية؟ن

يضيف المعهد الوطني الأمريكي للمعايير والتقنية (NIST) أكثر من 2,000 ثغرة أمنية جديدة إلى قاعدة البيانات الوطنية للثغرات الأمنية شهريًا. ليس على الفرق الأمنية تتبع جميع هذه الثغرات، ولكنها بحاجة إلى طريقة ما لتحديد الثغرات التي تشكل تهديدًا محتملاً لأنظمتها ومعالجتها. هذا هو الغرض من دورة حياة عملية إدارة الثغرات الأمنية.

دورة حياة عملية إدارة الثغرات الأمنية هي عملية مستمرة لاكتشاف الثغرات الأمنية في أصول تقنية المعلومات الخاصة بالشركة وتحديد أولوياتها ومعالجتها.

تحتوي الجولة التقليدية من جولات دورة الحياة على خمس مراحل:

1. جرد الأصول وتقييم الثغرات الأمنية.
2. تحديد أولويات الثغرات الأمنية.
3. معالجة الثغرات الأمنية.
4. التحقق والمراقبة.
5. إعداد التقارير والإصلاح.

تسمح دورة حياة عملية إدارة الثغرات الأمنية للمنظمات بتعزيز الوضع الأمني من خلال اتباع نهج أكثر إستراتيجية لإدارة الثغرات الأمنية. فبدلاً من التعامل مع الثغرات الجديدة عند ظهورها، تبحث الفرق الأمنية عن العيوب في أنظمتها بفعالية. يمكن للمنظمات تحديد الثغرات الأمنية الحساسة ووضع أنظمة حماية قبل بدء هجوم جهات التهديد التخريبية.

الثغرة الأمنية هي أي ضعف أمني في بنية شبكة أو أصل أو وظيفتهما أو طريقة عملهما يمكن للمخترقين استغلاله لإلحاق الضرر بالشركة.

يمكن أن تنشأ الثغرات الأمنية نتيجة وجود عيوب أساسية في عملية بناء الأصول. وهذا ما حدث مع ثغرة Log4J الشهيرة، حيث سمحت أخطاء الترميز في مكتبة Java الشهيرة للمخترقين بتشغيل برنامج ضار عن بعد على أجهزة كمبيوتر الضحايا. تنشأ الثغرات الأمنية الأخرى بسبب خطأ بشري، مثل حاوية التخزين السحابي التي تم تكوينها بشكل خاطئ والتي تعرض البيانات الحساسة على الإنترنت العام.

تشكل كل ثغرة أمنية مصدر خطر على المنظمات. وفقًا لمؤشر ®IBM X-Force Threat Intelligence، فإن استغلال الثغرات الأمنية هو ثاني أكثر عوامل الهجمات الإلكترونية شيوعًا. توصل مؤشر ®X-Force أيضًا إلى أن عدد الثغرات الأمنية الجديدة يزداد كل عام، حيث تم تسجيل 23,964 ثغرة في عام 2022 وحده.

يمتلك المخترقون مخزونًا متناميًا من الثغرات الأمنية تحت تصرفهم. وفي المقابل، جعلت الشركات من عملية إدارة الثغرات الأمنية عنصرًا أساسيًا من عناصر إستراتيجياتها في إدارة المخاطر الإلكترونية. توفر دورة حياة عملية إدارة الثغرات الأمنية نموذجًا رسميًا لبرامج إدارة الثغرات الأمنية الفعالة في مجال التهديدات الإلكترونية المتغير باستمرار. من خلال تبني دورة الحياة، يمكن أن تستشعر المنظمات بعض المزايا التالية:

• اكتشاف الثغرات الأمنية ومعالجتها بشكل استباقي: لا تكون الشركات في كثير من الأحيان على علم بثغراتها الأمنية إلا بعد أن يستغلها المخترقون. تقوم دورة حياة عملية إدارة الثغرات الأمنية على المراقبة المستمرة حتى تتمكن الفرق الأمنية من العثور على الثغرات الأمنية قبل أن يصل الخصوم إليها.
• التخصيص الإستراتيجي للموارد: يتم اكتشاف عشرات الآلاف من الثغرات الأمنية الجديدة سنويًا، ولكن القليل منها فقط يهدد المنظمة. تساعد دورة حياة عملية إدارة الثغرات الأمنية المنظمات على تحديد الثغرات الأمنية الأكثر حساسية في شبكاتها وإعطاء الأولوية لأكبر المخاطر لمعالجتها.
• عملية أكثر اتساقًا لإدارة الثغرات الأمنية: توفر دورة حياة عملية إدارة الثغرات الأمنية للفرق الأمنية عملية قابلة للتكرار للمضي فيها، بدءًا من اكتشاف الثغرات الأمنية ووصولاً إلى معالجتها وما إلى ذلك. تؤدي العملية الأكثر اتساقًا إلى تحقيق نتائج أكثر اتساقًا، وتُمكن الشركات من أتمتة مهام سير العمل الرئيسية مثل عملية جرد الأصول وتقييم الثغرات وإدارة التحديثات.

يمكن أن تظهر ثغرات أمنية جديدة في أي شبكة وفي أي وقت، ومن ثَمَّ فإن دورة حياة عملية إدارة الثغرات الأمنية هي حلقة مستمرة وليست سلسلة من الأحداث المتفرقة. تُفضي كل جولة من جولات دورة الحياة إلى المرحلة التالية مباشرةً. وعادةً ما تحتوي الجولة الواحدة على المراحل التالية:

المرحلة 0: التخطيط والعمل المسبق

من الناحية الفنية، يبدأ التخطيط والعمل المسبق قبل بدء دورة حياة عملية إدارة الثغرات الأمنية، ومن هنا جاءت تسميتها "المرحلة 0". خلال هذه المرحلة، تقوم المنظمة بتسوية التفاصيل الحساسة لعملية إدارة الثغرات الأمنية، بما في ذلك ما يلي:

• مَن من الأطراف المعنية سيشارك في العملية وما الأدوار التي سيضطلعون بها
• الموارد—بما في ذلك الأشخاص والأدوات والأموال—المتاحة لإجراء عملية إدارة الثغرات الأمنية
• الإرشادات العامة لتحديد أولويات الثغرات الأمنية والتعامل معها
• المقاييس لتحديد مدى نجاح البرنامج

لا تمر المنظمات بهذه المرحلة قبل كل جولة من جولات دورة الحياة. بشكل عام، تُجري الشركة مرحلة تخطيط وعمل مسبق مكثفة قبل أن تطلق برنامجًا رسميًا لإدارة الثغرات الأمنية. عندما يكون هناك برنامج قيد التنفيذ، يعيد الأطراف المعنية بشكل دوري النظر في مرحلة التخطيط والعمل المسبق لتحديث إرشاداتهم وإستراتيجياتهم الشاملة حسب الحاجة.

المرحلة الأولى: اكتشاف الأصول وتقييم الثغرات الأمنية

تبدأ دورة حياة عملية إدارة الثغرات الأمنية الرسمية بجرد الأصول—تجهيز قائمة بجميع الأجهزة والبرامج الموجودة على شبكة المنظمة. وتشمل عملية الجرد التطبيقات ونقاط النهاية المعتمدة رسميًا وأي أصول تقنية معلومات ظلية يستخدمها الموظفون دون اعتماد.

ونظرًا لأن الأصول الجديدة تُضاف إلى شبكات الشركة بانتظام، تُحدّث عملية جرد الأصول قبل كل جولة من جولات دورة الحياة. غالبًا ما تستخدم الشركات أدوات برمجية مثل منصات إدارة سطح الهجوم لأتمتة عمليات الجرد لديها.

بعد تحديد الأصول، يُجري الفريق الأمني تقييمًا لها بحثًا عن الثغرات الأمنية. يمكن للفريق الاستعانة بمجموعة من الأدوات والأساليب، بما في ذلك الماسحات الضوئية الآلية للثغرات الأمنية واختبار الاختراق اليدوي واستعلامات التهديدات الخارجية من مجتمع الأمن الإلكتروني.

سيكون إجراء تقييم لكل الأصول خلال كل جولة من جولات دورة الحياة أمرًا مرهقًا، لذلك تعمل الفرق الأمنية عادةً على دفعات. تركز كل جولة من جولات دورة الحياة على مجموعة محددة من الأصول، مع إجراء مسح ضوئي لمجموعات الأصول الحساسة في كثير من الأحيان. تُجري بعض أدوات المسح الضوئي المتقدمة للثغرات الأمنية تقييمًا لجميع أصول الشبكة باستمرار وبشكل فوري، ما يمكن الفريق الأمني من اتباع نهج أكثر حيوية لاكتشاف الثغرات الأمنية.

المرحلة الثانية: تحديد أولويات الثغرات الأمنية

يعطي الفريق الأمني الأولوية للثغرات الأمنية التي عثروا عليها في مرحلة التقييم. تضمن مرحلة تحديد الأولويات أن يعالج الفريق الثغرات الأمنية الأكثر حساسية أولاً. وتساعد هذه المرحلة أيضًا الفريق على تجنب إهدار الوقت والموارد في معالجة الثغرات الأمنية منخفضة المخاطر. 

لتحديد أولويات الثغرات الأمنية، يراعي الفريق هذه المعايير:

• درجات الحساسية من حيث استعلامات التهديدات الخارجية: يمكن أن يشمل ذلك قائمة MITRE للثغرات الأمنية وعمليات التعرض الشائعة (CVE) أو نظام تسجيل الثغرات الأمنية الشائعة (CVSS).
• مدى حساسية الأصول: غالبًا ما تحظى الثغرة الأمنية غير الحساسة في أحد الأصول الحساسة بأولوية أعلى من الثغرة الأمنية الحساسة في أصل أقل أهمية. 
• مدى التأثير المحتمل: يقدّر الفريق الأمني ما قد يحدث إذا استغل المخترقون ثغرة أمنية معينة، بما في ذلك الآثار الواقعة على العمليات التجارية والخسائر المالية وأي احتمال لاتخاذ إجراءات قانونية.
• احتمالية الاستغلال: يولي الفريق الأمني اهتمامًا أكبر بالثغرات الأمنية ذات الاستغلالات المعروفة التي يستخدمها المخترقون بفعالية من دون رقابة.
• التشخيصات الخاطئة: يتأكد الفريق الأمني من وجود الثغرات الأمنية بالفعل قبل تخصيص أي موارد لها.

المرحلة الثالثة: معالجة الثغرات الأمنية

يعمل الفريق الأمني وفقًا لقائمة من الثغرات الأمنية مرتبة حسب الأولوية، من الأكثر حساسية إلى الأقل حساسية. لدى المنظمات ثلاثة خيارات لمعالجة الثغرات الأمنية:

1. المعالجة: معالجة الثغرة الأمنية بشكل كامل بحيث لا يمكن استغلالها مرة أخرى، مثل تصحيح خطأ في نظام التشغيل، أو إصلاح الإعدادات الخاطئة أو إزالة الأصول الضعيفة من الشبكة. إجراء المعالجة ليس ممكنًا دائمًا. لا يمكن إجراء إصلاحات كاملة لبعض الثغرات الأمنية في وقت اكتشافها (على سبيل المثال، الثغرات الأمنية الفورية). أما بالنسبة إلى الثغرات الأمنية الأخرى، فإن معالجتها تتطلب الكثير من الموارد.
2. التخفيف من الحدة: وهو جعل استغلال الثغرة الأمنية أكثر صعوبة أو تقليل أثر الاستغلال من دون القضاء على الثغرة بالكامل. على سبيل المثال، إضافة إجراءات مصادقة وتفويض أكثر صرامة إلى تطبيق ويب سيجعل من الصعب على المخترقين سرقة الحسابات. إن إعداد خطط الاستجابة للحوادث عند العثور على الثغرات الأمنية يمكن أن يخفف من وطأة الهجمات الإلكترونية. عادةً ما تفضل الفرق الأمنية خيار التخفيف من الحدة عندما تكون المعالجة مستحيلة أو باهظة التكلفة. 
3. التقبّل: بعض الثغرات الأمنية تأثيرها منخفض أو من غير المرجح أن يتم استغلالها لدرجة أن إصلاحها لن يكون فعالاً من حيث التكلفة. في هذه الحالات، يمكن للمنظمة أن تختار تقبل وجود الثغرة الأمنية.

المرحلة الرابعة: التحقق والمراقبة

للتحقق من أن جهود التخفيف من الحدة والمعالجة عملت على النحو المنشود، يُعيد الفريق الأمني إجراء مسح ضوئي للأصول التي عملوا عليها للتو ويعيدون اختبارها. عمليات التدقيق هذه لها غرضان أساسيان: تحديد ما إذا كان الفريق الأمني قد نجح في معالجة جميع الثغرات الأمنية المعروفة والتأكد من أن التخفيف من الحدة والمعالجة لم يتسببا في أي مشاكل جديدة.

كجزء من مرحلة إعادة التقييم هذه، يراقب الفريق الأمني أيضًا الشبكة على نطاق أوسع. يبحث الفريق عن أي ثغرات أمنية جديدة ظهرت منذ المسح الضوئي الأخير، أو عن عمليات التخفيف من الحدة القديمة التي عفا عليها الزمن، أو عن التغييرات الأخرى التي قد تتطلب اتخاذ إجراء. تساعد كل هذه النتائج على إدارة الجولة التالية من جولات دورة الحياة.

المرحلة الخامسة: إعداد التقارير والإصلاح

يوثّق الفريق الأمني نشاط آخر جولة من جولات دورة الحياة، بما في ذلك الثغرات التي تم العثور عليها وخطوات المعالجة المتخذة والنتائج. وتطلع على هذه التقارير الأطراف المعنية المشاركة في العملية، بما في ذلك المديرون التنفيذيون ومالكو الأصول ودوائر الالتزام وغيرهم. 

ينظر الفريق الأمني أيضًا في طريقة سير الجولة الأخيرة من جولات دورة الحياة. قد ينظر الفريق في المقاييس الرئيسية مثل متوسط وقت الاكتشاف (MTTD)، ومتوسط وقت الاستجابة (MTTR)، والعدد الإجمالي للثغرات الأمنية الحساسة ومعدلات تكرار ظهور الثغرات الأمنية. ومن خلال تتبع هذه المقاييس بمرور الوقت، يمكن للفريق الأمني إنشاء خط مرجعي لتقييم أداء برنامج إدارة الثغرات الأمنية وتحديد فرص تحسين البرنامج بمرور الوقت. يمكن أن تجعل الدروس المستفادة من جولة واحدة من جولات دورة الحياة الجولة التالية أكثر فعالية.

عملية إدارة الثغرات الأمنية عملية معقدة. حتى في ظل وجود دورة حياة رسمية، قد تشعر الفرق الأمنية وكأنها تبحث عن الإبر في أكوام القش أثناء محاولتها تعقب الثغرات الأمنية في شبكات الشركات الضخمة

يمكن أن يساعد ®IBM® X-Force Red على تبسيط العملية. يقدم فريق ®X-Force Red خدمات شاملة لإدارة الثغرات الأمنية، ويعمل مع المنظمات لتحديد الأصول الحساسة، واكتشاف الثغرات الأمنية عالية المخاطر، ومعالجة نقاط الضعف بالكامل وتطبيق تدابير مضادة فعالة.

يمكن أن يقدم IBM Security® QRadar® Suite المزيد من الدعم للفرق الأمنية شحيحة الموارد بفضل حل حديث للكشف عن التهديدات والتعامل معها. يدمج QRadar Suite أمن نقطة النهاية وإدارة السجلات ومنتجات SIEM وSOAR ضمن واجهة مستخدم مشتركة، ويدمج أتمتة المؤسسة وذكاءها الاصطناعي لمساعدة محللي الأمن على زيادة الإنتاجية والعمل بشكل أكثر فعالية مع التقنيات.