ما المقصود بإدارة الثغرات الأمنية؟

الثغرة الأمنية هي أي عيب أو ضعف في هيكل أو وظيفة أو تطبيق شبكة أو أصل متصل بالشبكة يمكن للمتسللين استغلاله لشن هجمات إلكترونية أو الحصول على وصول غير مصرح به إلى الأنظمة أو البيانات أو إلحاق ضرر آخر بالمؤسسة.

ومن الأمثلة على الثغرات الشائعة سوء إعدادات جدار الحماية التي قد تسمح لأنواع معينة من البرامج الضارة بالدخول إلى الشبكة أو الأخطاء غير المصححة في بروتوكول سطح المكتب البعيد لنظام التشغيل والتي قد تسمح للمتسللين بالاستيلاء على جهاز.

شبكات المؤسسات اليوم موزعة للغاية، ويتم اكتشاف العديد من الثغرات الأمنية الجديدة يوميًا، مما يجعل الإدارة اليدوية أو المخصصة للثغرات الأمنية شبه مستحيلة. تعتمد فرق الأمن السيبراني عادةً على حلول إدارة الثغرات الأمنية لأتمتة العملية.

يذكر مركز أمن الإنترنت (CIS) الإدارة المستمرة للثغرات الأمنية كأحد ضوابطه الأمنية الهامة للدفاع ضد الهجمات الإلكترونية الأكثر شيوعًا. تتيح إدارة الثغرات الأمنية لفرق أمن تكنولوجيا المعلومات تبني وضع أمني أكثر استباقية من خلال تحديد الثغرات الأمنية وحلها قبل استغلالها.

نظرًا لإمكانية ظهور ثغرات أمنية جديدة في أي وقت، تتعامل فرق الأمن مع إدارة الثغرات الأمنية باعتبارها دورة حياة مستمرة وليست حدثًا منفصلًا. تتضمن دورة الحياة هذه خمسة عمليات سير عمل مستمرة ومتداخلة: الاكتشاف، والتصنيف وتحديد الأولويات، والمعالجة، وإعادة التقييم وإعداد التقارير.

تتمحور عملية اكتشاف الثغرات الأمنية حول تقييم الثغرات، وهي عملية للتحقق من جميع أصول تكنولوجيا المعلومات الخاصة بالمؤسسة بحثًا عن الثغرات المعروفة والمحتملة. وعادةً ما تقوم فرق الأمن بأتمتة هذه العملية باستخدام برامج فحص الثغرات الأمنية. تقوم بعض برامج فحص الثغرات الأمنية بإجراء عمليات فحص دورية وشاملة للشبكة وفق جدول زمني منتظم، بينما يستخدم البعض الآخر وكلاء مثبتين على أجهزة الكمبيوتر المحمولة وأجهزة التوجيه ونقاط النهاية الأخرى لجمع البيانات حول كل جهاز. يمكن لفرق الأمن أيضًا استخدام تقييمات الثغرات الأمنية العرضية، مثل اختبار الاختراق، لتحديد الثغرات التي تفلت من الفحص.

بمجرد تحديد الثغرات الأمنية، يتم تصنيفها حسب النوع (على سبيل المثال، إعدادات خاطئة للأجهزة، ومشاكل في التشفير، وكشف بيانات حساسة) وتحديد أولوياتها حسب مستوى الخطورة. توفر هذه العملية تقديرًا لشدة كل ثغرة أمنية، وقابليتها للاستغلال، واحتمالية وقوع هجوم.

تعتمد حلول إدارة الثغرات الأمنية عادةً على مصادر استعلامات التهديدات مثل نظام تقييم الثغرات الشائعة (CVSS)، وهو معيار مفتوح في صناعة الأمن السيبراني، لتسجيل مدى خطورة الثغرات الأمنية المعروفة على مقياس من 0 إلى 10. ومن مصادر الاستعلامات الشائعة الأخرى قائمة MITRE للثغرات والتعرضات الشائعة (CVEs) وقاعدة بيانات الثغرات الوطنية (NVD) التابعة للمعهد الوطني للمعايير والتقنية (NIST).

بمجرد تحديد أولويات الثغرات الأمنية، يمكن لفرق الأمن حلها بإحدى الطرق الثلاث التالية:

• المعالجة: المعالجة الكاملة لثغرة أمنية بحيث لا يمكن استغلالها بعد الآن، مثل تثبيت تصحيح برمجي يعالج خطأ في البرنامج أو إيقاف تشغيل أصل ضعيف. توفر العديد من منصات إدارة الثغرات الأمنية أدوات المعالجة مثل إدارة التصحيحات للتنزيل التلقائي للتصحيحات واختبارها، وإدارة التكوين لمعالجة أخطاء تكوين الشبكة والأجهزة من لوحة معلومات أو بوابة مركزية.
• التخفيف: جعل الثغرة الأمنية أكثر صعوبة في الاستغلال وتقليل تأثير الاستغلال دون إزالة الثغرة الأمنية تمامًا. يعد ترك جهاز ضعيف متصلًا بالإنترنت ولكن فصله عن بقية الشبكة مثالًا على التخفيف. غالبًا ما يتم تنفيذ التخفيف عندما لا يتوفر تصحيح أو وسيلة أخرى للمعالجة بعد. 
• القبول: اختيار ترك ثغرة أمنية دون معالجة. غالبًا ما يتم قبول الثغرات ذات درجات الخطورة المنخفضة، والتي من غير المرجح استغلالها أو التي من غير المرجح أن تتسبب في أضرار جسيمة.

عندما يتم حلّ الثغرات الأمنية، تجري فرق الأمن تقييمًا جديدًا للثغرات الأمنية للتأكد من نجاح جهود التخفيف أو التقييم وعدم إدخال أي ثغرات جديدة.

عادةً ما توفر منصات إدارة الثغرات الأمنية لوحات معلومات لإعداد تقارير حول مقاييس مثل متوسط الوقت للكشف (MTTD) ومتوسط الوقت للاستجابة (MTTR). تحتفظ العديد من الحلول أيضًا بقواعد بيانات للثغرات الأمنية التي تم تحديدها، مما يسمح لفرق الأمان بتتبع حل الثغرات الأمنية المحددة ومراجعة جهود إدارة الثغرات الأمنية السابقة.

تُمكِّن قدرات إعداد التقارير هذه فرق الأمن من تأسيس خط أساس لأنشطة إدارة الثغرات الأمنية المستمرة ومراقبة أداء البرنامج بمرور الوقت. يمكن أيضًا استخدام التقارير في مشاركة المعلومات بين فريق الأمن وفرق تكنولوجيا المعلومات الأخرى التي قد تكون مسؤولة عن إدارة الأصول ولكنها غير مشاركة بشكل مباشر في عملية إدارة الثغرات الأمنية.

إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) هي مقاربة جديدة نسبيًا لإدارة الثغرات الأمنية. تجمع RBVM بيانات الثغرات الأمنية الخاصة بالأطراف المعنية مع قدرات الذكاء الاصطناعي والتعلم الآلي لتعزيز إدارة الثغرات الأمنية بثلاث طرق مهمة.

المزيد من السياق لتحديد الأولويات بشكل أكثر فعالية. تُحدِّد حلول إدارة الثغرات الأمنية التقليدية درجة الخطورة باستخدام مصادر قياسية في الصناعة مثل نظام تقييم الثغرات الشائعة (CVSS) أو قاعدة بيانات الثغرات الأمنية الوطنية (NIST NVD). وتعتمد هذه المصادر على تعميمات يمكنها تحديد متوسط درجة الخطورة للثغرة الأمنية عبر جميع المؤسسات. لكنها تفتقر إلى بيانات الثغرات الأمنية الخاصة بالأطراف المعنية، مما قد يؤدي إلى إفراط خطير في تقدير أو التقليل من شأن درجة الخطورة للثغرة الأمنية بالنسبة لشركة معينة.

على سبيل المثال، نظرًا لعدم امتلاك أي فريق أمني الوقت أو الموارد اللازمة لمعالجة كل ثغرة أمنية في شبكته، فإن العديد منهم يعطي الأولوية للثغرات الأمنية ذات درجة "عالية" (7.0-8.9) أو "حرجة" (9.0-10.0) في نظام CVSS. ومع ذلك، إذا كانت هناك ثغرة أمنية "حرجة" موجودة في أصل لا يخزن أو يعالج أي معلومات حساسة، أو لا يوفر أي مسارات إلى أجزاء الشبكة ذات القيمة العالية، فقد لا تستحق المعالجة.

يمكن أن تشكل الثغرات ذات درجات CVSS المنخفضة تهديدًا أكبر لبعض المؤسسات مقارنة بغيرها. تم تصنيف ثغرة "Heartbleed"، التي تم اكتشافها في عام 2014، على أنها "متوسطة" (5.0) على مقياس CVSS. ومع ذلك، استخدمها المتسللون لتنفيذ هجمات واسعة النطاق، مثل سرقة بيانات 4.5 مليون مريض من إحدى أكبر سلاسل المستشفيات في الولايات المتحدة.

تكمّل إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) تسجيل النقاط ببيانات الثغرات الخاصة بالأطراف المعنية، وعدد الأصول المتأثرة ومدى أهميتها، وكيفية اتصال الأصول ببعضها البعض، والضرر المحتمل الذي قد يسببه استغلال الثغرة بالإضافة إلى بيانات حول كيفية تفاعل مجرمي الإنترنت مع الثغرات في العالم الحقيقي. وتستخدم التعلّم الآلي لصياغة درجات المخاطر التي تعكس بدقة أكبر مخاطر كل ثغرة على المؤسسة على وجه التحديد. وهذا يمكّن فرق أمن تكنولوجيا المعلومات من إعطاء الأولوية لعدد أقل من الثغرات الخطيرة دون التضحية بأمن الشبكة.

الاكتشاف في الوقت الفعلي. في إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، غالبًا ما تُجرى عمليات فحص الثغرات الأمنية في الوقت الفعلي بدلًا من جدول زمني متكرر. بالإضافة إلى ذلك، يمكن لحلول إدارة الثغرات الأمنية القائمة على المخاطر مراقبة مجموعة أوسع من الأصول: فبينما تقتصر برامج الفحص التقليدية للثغرات الأمنية عادةً على الأصول المعروفة المتصلة مباشرة بالشبكة، يمكن لأدوات إدارة الثغرات الأمنية القائمة على المخاطر عادةً فحص الأجهزة المحمولة المحلية والبعيدة، والأصول السحابية، وتطبيقات الطرف الثالث، والموارد الأخرى.

إعادة التقييم الآلي. في عملية إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، يمكن أتمتة إعادة التقييم عن طريق الفحص المستمر للثغرات الأمنية. في إدارة الثغرات الأمنية التقليدية، قد تتطلب إعادة التقييم فحصًا متعمدًا للشبكة أو اختبار اختراق.

ترتبط إدارة الثغرات الأمنية بشكل وثيق مع إدارة سطح الهجوم (ASM). إن إدارة سطح الهجوم هي الاكتشاف المستمر، والتحليل، والمعالجة، والمراقبة للثغرات الأمنية ونواقل الهجوم المحتملة التي تشكل سطح الهجوم للمؤسسة. ويكمن الاختلاف الأساسي بين إدارة سطح الهجوم وإدارة الثغرات الأمنية في النطاق. فبينما تراقب العمليتان وتعالجان الثغرات الأمنية في أصول المؤسسة، تتخذ إدارة سطح الهجوم نهجًا أكثر شمولية لأمن الشبكات.

تشمل حلول إدارة سطح الهجوم (ASM) قدرات اكتشاف الأصول التي تحدد وتراقب جميع الأصول المعروفة وغير المعروفة والجهات الخارجية والتابعة والخبيثة المتصلة بالشبكة. يتجاوز نظام إدارة سطح الهجوم أيضًا أصول تكنولوجيا المعلومات لتحديد الثغرات الأمنية في أسطح هجوم الهندسة الفيزيائية والاجتماعية للمؤسسة. ثم تحلل هذه الأصول والثغرات الأمنية من منظور المتسللين لفهم كيف يمكن للمجرمين الإلكترونيين استخدامها للتسلل إلى الشبكة.

مع ظهور إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، أصبحت الخطوط الفاصلة بين إدارة الثغرات الأمنية وإدارة سطح الهجوم (ASM) غير واضحة بشكل متزايد. غالبًا ما تنشر المؤسسات منصات إدارة سطح الهجوم كجزء من حلول إدارة الثغرات الأمنية القائمة على المخاطر لديها، لأن إدارة سطح الهجوم توفر رؤية أكثر شمولية لسطح الهجوم مقارنة بإدارة الثغرات الأمنية وحدها.