21 فبراير 2025
يُعَد نظام تصنيف الثغرات الشائعة (CVSS) إطار عمل مستخدم على نطاق واسع لتصنيف وتقييم الثغرات البرمجية.
من خلال إطار العمل المفتوح هذا، تستطيع المؤسسات حساب درجة CVSS، وهي درجة عددية تمثِّل شدة الثغرة الأمنية. يتم تمثيل خصائص الثغرة التي ساهمت في درجة CVSS في سلسلة نصية تُعرَف باسم "سلسلة متجه CVSS".
منذ عام 2005، تم إصدار عدة إصدارات من CVSS. وتم إصدار النسخة الأحدث، CVSS v4.0، في عام 2022. يُدار إطار العمل هذا بواسطة المجموعة غير الربحية FIRST.org, Inc.، المعروفة أيضًا باسم منتدى فرق الاستجابة للحوادث والأمن.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
يُعَد CVSS أداة مهمة لإدارة الثغرات، والتي تتضمن الاكتشاف المستمر، وتحديد الأولويات، وحل الثغرات الأمنية في البنية التحتية لتكنولوجيا المعلومات والبرمجيات الخاصة بالمؤسسة. ويُعَد تحديد الأخطاء ونقاط الضعف في مجال الأمن الإلكتروني، مثل أخطاء تكوين جدار الحماية والأخطاء غير المصححة، وحلها أمرًا حساسًا لضمان الأداء الكامل للبنية التحتية لتكنولوجيا المعلومات والبرمجيات.
يمكن أن تشمل تدابير الحل ما يلي:
- المعالجة: التأكد من عدم إمكانية استغلال الثغرة الأمنية بعد الآن.
- التخفيف: جعل الثغرة أكثر صعوبة للاستغلال مع تقليل التأثير المحتمل لاستغلالها.
- القبول: ترك الثغرة كما هي إذا كان من غير المحتمل أن يتم استغلالها أو إذا كانت ستسبِّب ضررًا طفيفًا.
نظرًا لتعقيد أنظمة تكنولوجيا المعلومات الحديثة وحجم الثغرات والتهديدات الإلكترونية الكبير، قد يكون من الصعب على مديري تكنولوجيا المعلومات تحديد المشكلات التي يجب معالجتها وحلها أولًا.
وهنا يأتي دور CVSS كأداة قيمة: حيث يوفر لمديري تكنولوجيا المعلومات نهجًا منهجيًا لتقييم شدة الثغرة، ما يساعدهم على اتخاذ قراراتهم بشأن تحديد الأولويات والتخطيط لحل الثغرات في الأنظمة المتأثرة.1
وفقًا لموقع FIRST.org، يمكن دمج درجات CVSS في التقييمات، ولكن لا ينبغي استخدام التقييم CVSS بمفرده بدلًا من التقييم الشامل. تُوصي أدلة المستخدم الخاصة بإطار CVSS بأن تشمل التقييمات الشاملة عوامل تتجاوز نطاق CVSS.2
بدأ CVSS كمشروع بحثي بتكليف من المجلس الاستشاري الوطني للبنية التحتية (NIAC) في عام 2003. في ذلك الوقت، كان المشهد الخاص بتقييمات الثغرات البرمجية غير مترابط: حيث استخدم بائعو خدمات أمن الكمبيوتر والمجموعات غير الربحية إجراءات وقياسات مختلفة، ما أدى إلى مجموعة من أنظمة التقييم الفريدة، وغالبًا ما كانت ملكية، وكانت غير متوافقة مع بعضها.3 هذا التضارب جعل من الصعب على فرق الأمن في المجموعات المختلفة التعاون فيما بينها.4
أنشأ باحثو NIAC إطار العمل CVSS لتوحيد تقييمات الثغرات الأمنية. وتم تصميمه ليكون نظامًا مفتوحًا يمكن تخصيصه واعتماده من قِبَل أنظمة تكنولوجيا المعلومات والبيئات المختلفة.5
يتكون CVSS v4.0 من 4 مجموعات مقاييس.6
- أساسي
- التهديد
- البيئية
- إضافي
تمثِّل مجموعات المقاييس هذه خصائص ونوعيات مختلفة من الثغرات البرمجية. ضمن إطار العمل CVSS v4.0، يمكن وصف المجموعات على النحو التالي:
أساسي
تمثِّل المقاييس الأساسية الصفات الجوهرية للثغرات التي تظل ثابتة عبر بيئات المستخدمين ومع مرور الوقت. تتكون المقاييس الأساسية من مجموعتين، مقاييس قابلية الاستغلال ومقاييس التأثير.
تُشير مقاييس قابلية الاستغلال إلى مدى سهولة استغلال الثغرة الأمنية بنجاح. وتتضمن أمثلة مقاييس قابلية الاستغلال ما يلي:
- مقاييس مقدار تفاعل المستخدم الذي يحتاجه المهاجم لاستغلال ثغرة أمنية.
- إذا ما كان بإمكان المهاجم الوصول إلى النظام محليًا أو عن بُعد ("ناقل الهجوم").
- مستوى الامتيازات التي يحتاجها المهاجم للنجاح ("الامتيازات المطلوبة").
- إذا ما كانت هناك حاجة إلى شروط محددة أو معرفة متقدمة لتنفيذ هجوم ("تعقيد الهجوم").
تمثِّل مقاييس التأثير نتائج الاستغلال الناجح، والتأثير في النظام المعرض للثغرة (مثل تطبيق البرمجيات أو نظام التشغيل) والتأثيرات اللاحقة في الأنظمة الأخرى. وتتضمن أمثلة مقاييس التأثير ما يلي:
- تدابير فقدان السرية، مثل الوصول إلى المعلومات المحظورة.
- فقدان النزاهة، مثلما يحدث عندما يعدِّل المهاجم بيانات النظام.
- تأثير التوافر، ويشير إلى إذا ما كان الهجوم يقلِّل من أداء النظام أو يمنع الوصول إلى النظام للمستخدمين الشرعيين.
التهديد
تمثِّل مقاييس التهديد خصائص الثغرات التي تتغير مع مرور الوقت. ويُعَد نضج الاستغلال هو المقياس الأساسي في هذه الفئة، ويقيس احتمالية استهداف ثغرة معينة بالهجوم.
يتم تحديد قيمة مقياس نضج الاستغلال بناءً على توفر أكواد الاستغلال، وحالة تقنيات الاستغلال، والحالات الواقعية للهجمات. وتتضمن هذه القيم ما يلي:
- "تم الهجوم" (ما يعني أنه تم الإبلاغ عن هجمات على هذه الثغرة).
- "إثبات المفهوم" (ما يعني أن أكواد الاستغلال متاحة ولكن لم يتم تسجيل أي هجمات معروفة).
- "غير مُبلغ عنها" (ما يعني أنه لا توجد أكواد استغلال إثبات المفهوم المعروفة ولا محاولات لاستغلال الثغرة).
عند عدم وجود معلومات تهديد موثوق بها لتحديد نضج الاستغلال، يتم استخدام القيمة الافتراضية "غير معرَّف".
البيئية
تمثِّل مجموعة المقاييس البيئية خصائص الثغرات الأمنية الفريدة لبيئة المستخدم. ومثل مجموعة المقاييس الأساسية، تتضمن مجموعة المقاييس البيئية السرية والسلامة والتوافر، حيث يتم تعيين قيمة لكل مقياس تعكس أهمية الأصل المعرَّض للخطر في المؤسسة. وهذا يتناقض مع التركيز الجوهري للمقاييس الأساسية.
بالإضافة إلى ذلك، يمكن للمحللين، من خلال مجموعة المقاييس البيئية، تجاوز مختلف المقاييس الأساسية الأصلية بمقاييس أساسية معدلة إذا كان الوضع في بيئة معينة يوحي بأن هناك ما يبرر قيمة مختلفة.
ضع في اعتبارك سيناريو يتطلب فيه التكوين الافتراضي للتطبيق مصادقة للوصول، ولكن البيئة الرئيسية للتطبيق لا تتطلب مصادقة للمسؤولين. في هذه الحالة، القيمة الأساسية الأصلية لثغرة "الامتيازات المطلوبة" في التطبيق هي "عالية"، ما يعني أن مستوى عالٍ من الصلاحيات مطلوب للوصول إليها. ومع ذلك، فإن قيمة "الامتيازات المطلوبة" المعدلة ستكون "لا شيء" لأن المهاجمين يمكنهم نظريًا استغلال الثغرة من خلال تولي وظائف إدارية.
إضافي
توفِّر مجموعة المقاييس التكميلية معلومات إضافية حول الخصائص الخارجية للثغرات، مع التركيز على المشكلات التي تتجاوز الخطورة التقنية. وتتضمن أمثلة المقاييس التكميلية ما يلي:
- "قابلة للأتمتة" (إذا ما كان بإمكان المهاجم أتمتة خطوات الهجوم للوصول إلى أهداف متعددة).
- "السلامة" (احتمالية إصابة الإنسان نتيجة استغلال الثغرة).
- "التعافي" (مستوى تعافي النظام بعد الهجوم).
كيف تغيرت مقاييس CVSS بمرور الوقت؟
تختلف إصدارات CVSS من حيث المقاييس المضمَّنة فيها. على سبيل المثال، تُعدَ مجموعة المقاييس التكميلية إضافة جديدة نسبيًا إلى CVSS، إذ لم تتضمن الإصدارات السابقة من CVSS (CVSS v1 وCVSS v2 وCVSS v3 وCVSS v3.1) هذه المجموعة من المقاييس.
ومع ذلك، تضمنت الإصدارات الأقدم من CVSS مقاييس أخرى، مثل "الثقة في التقرير" و"مستوى المعالجة"، والتي تنتمي إلى مجموعة مقاييس تُسمَّى المقاييس الزمنية. وقد حلَّت فئة مقاييس التهديد في CVSS v4.0 محل مجموعة المقاييس الزمنية في الإصدارات السابقة.
يُعَد CVSS v4.0 أيضًا أكثر تفصيلًا في مقاييسه الأساسية، ما يُتيح فهمًا أشمل للثغرات.
تعكس الأنواع المختلفة من درجات CVSS مجموعات المقاييس المختلفة التي يتم أخذها في الاعتبار عند تقييم الثغرة الأمنية:
- تُشير CVSS-B إلى الدرجات الأساسية لـ CVSS
- تُشير CVSS-BE إلى الدرجات الأساسية والبيئية
- تُشير CVSS-BT إلى درجات CVSS الأساسية والتهديدية
- تُشير CVSS-BTE إلى درجات CVSS الأساسية والتهديدية والبيئية7
تتراوح جميع الدرجات من 0 إلى 10، حيث يمثِّل 0 أدنى مستوى من الخطورة و10 أعلى درجة ممكنة من الخطورة. لا تؤثِّر المقاييس التكميلية في درجات CVSS ولكن يمكن تضمينها في سلاسل متجهات CVSS v4.0.
قد تعطي الجهات المختلفة أولوية لمجموعات ودرجات مقاييس مختلفة. على سبيل المثال، غالبًا ما يحدد بائعو البرمجيات الدرجات الأساسية لمنتجاتهم، بينما قد تعتمد مجموعة المستهلكين على المقاييس للإشارة إلى التأثير المحتمل للثغرة الأمنية في بيئاتها.8
سلاسل متجهات CVSS هي تمثيلات نصية قابلة للقراءة آليًا لمجموعة من مقاييس CVSS الخاصة بثغرة معينة. تتوافق الاختصارات المختلفة داخل سلاسل المتجهات مع مقاييس محددة، ما يساعد على وضع درجة CVSS الخاصة بهذه الثغرة الأمنية في سياقها.9
على سبيل المثال، فإن ثغرة لها قيمة "متجه الهجوم" تساوي "L" (أي "محلي") ستتضمن "AV:L" في سلسلة المتجه الخاصة بها. إذا كانت تلك الثغرة الأمنية تتطلب أن يكون لدى المهاجم مستوى عالٍ من الامتيازات لاستغلالها بنجاح، فإن قيمة "الامتيازات المطلوبة" ستكون "H" (أي "عالية" وستتضمن سلسلة المتجهات الخاصة بها "PR:H".
في سلسلة المتجهات، يتم فصل كل قيمة في سلسلة المتجهات بشرطة مائلة للأمام ("/") ويجب إدراجها بترتيب محدد، كما هو محدد في إطار عمل CVSS. يمكن دمج القيم المختلفة من مجموعات المقاييس الأساسية والتهديدية والبيئية في 15 مليون سلسلة متجهات مختلفة.10
يمكن أن يكون CVSS مفيدًا في تقييم أنواع معينة من الثغرات الأمنية التي يتم اكتشافها عادةً في تطبيقات الذكاء الاصطناعي، مثل تسميم النماذج، أو هجمات حجب الخدمة أو الكشف عن المعلومات. ومع ذلك، قد يكون CVSS أقل فائدة في تقييم الثغرات المتعلقة بالذكاء الاصطناعي التي تتعلق في الغالب بالتحيز، أو الأخلاقيات أو القضايا القانونية، وفقًا لمؤسسة FIRST.org. وتتعلق مثل هذه الثغرات بالاستدلال، وعكس النماذج وحقن المطالبات.11
يُعَد CVSS إطار عمل لتقييم الثغرات، أما CVE (وهو اختصار لألثغرات والمخاطر الشائعة) فهو معجم للثغرات الأمنية التي تم الكشف عنها علنًا. يتم تخصيص معرِّفات فريدة تُسمَّى CVE IDs للثغرات المضمَّنة في برنامج CVE. يُدار البرنامج بواسطة مؤسسة MITRE غير الربحية وترعاه وزارة الأمن الداخلي الأمريكية.
يمكن تقييم شدة الثغرات المدرجة في برنامج CVE باستخدام إطار عمل CVSS. ومع ذلك، عندما يتعلق الأمر بالثغرات المنشورة بواسطة CVE، قد تختار مؤسسات CVE عدم القيام بحساباتها الخاصة والاعتماد بدلًا من ذلك على درجات CVSS المقدَّمة من قاعدة بيانات الثغرات الوطنية (NVD). تُعَد NVD مستودع معايير لبيانات إدارة الثغرات من المعهد الوطني الأمريكي للمعايير والتقنية (NIST). تستضيف NVD قاعدة بيانات قابلة للبحث عبر الإنترنت تحتوي على الثغرات التي تم تحديدها بواسطة CVE ومرفقة بمعلومات إضافية، بما في ذلك درجات CVSS الأساسية وسلاسل المتجهات.
يمكن للمؤسسات استخدام الآلات الحاسبة عبر الإنترنت لتحديد عدة أنواع من درجات CVSS، بما في ذلك درجات CVSS استنادًا إلى الإصدارات القديمة من CVSS. تتوفر حاسبات CVSS على مواقع CVSS وNVD. تتضمن وثائق CVSS توصية بأن تستخدِم المؤسسات الأتمتة لمسح التهديدات من أجل توجيه الجزء الخاص بالمقاييس التهديدية والبيئية في التقييم.12
يمكن للمؤسسات أيضًا الاستفادة من أدوات ومنصات إدارة الثغرات التي تتضمن تقييمات CVSS. تُشير الحلول الرائدة في برامج تقييم الثغرات إلى درجات CVSS من بين عدة عوامل رئيسية، بما في ذلك معايير الامتثال، وأدلة أمن الموردين، وأبحاث المجالات. وقد تتضمن هذه الحلول أيضًا ميزات مدعومة بالذكاء الاصطناعي مثل اكتشاف البيانات في الوقت الفعلي والذي يمكن أن يساعد في تحسين استجابة مجموعة للحوادث وإدارة الخصوصية .
الموارد
احصل على توصيات مُعززة بالذكاء الاصطناعي التوليدي ومُرتَّبة حسب الأولوية لتقليل متوسط الوقت اللازم للإصلاح (MTTR) للثغرات الأمنية باستخدام IBM Concert.
اعتماد برنامج لإدارة الثغرات الأمنية يقوم بتحديد الثغرات التي قد تعرض أصولك الأكثر أهمية للخطر وترتيب أولوياتها وإدارة معالجتها.
تحسين الوضع الأمني للبيانات من خلال فحص المصادر واكتشاف الثغرات الأمنية وتنسيق المعالجة.
الحواشي
1 “The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems." Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology. أغسطس 2007.
2 “Common Vulnerability Scoring System v3.1: User Guide." FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
3، 5 “Common Vulnerability Scoring System: Final Report and Recommendations by the Council." National Infrastructure Advisory Council. 12 أكتوبر 2004.
4 “Introduction to CVSS.” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
6، 7، 8، 9، 10 “Common Vulnerability Scoring System version 4.0: Specification Document.” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.
11، 12 “Common Vulnerability Scoring System v4.0: Frequently Asked Questions (FAQ).” FIRST.org, Inc. تم الوصول إليه في 12 فبراير 2025.