الثغرات الأمنية
يصادف هذا العام الذكرى السنوية العشرين لنظام تسجيل الثغرات الأمنية المشترك (CVSS)، الذي أصبح معيارًا مقبولًا على نطاق واسع لوصف الثغرات الأمنية في البرمجيات. وعلى الرغم من عقود من الاستخدام وأربعة أجيال من المعيار – الذي وصل الآن إلى الإصدار 4.0 – لا تزال قواعد تسجيل نظام تسجيل الثغرات الأمنية المشترك (CVSS) تُساء استخدامها، ويظل النظام نفسه محل نقاش حاد. لذا، ما الذي تحتاج معرفته عن نظام تسجيل الثغرات الأمنية المشترك (CVSS) لحماية أصول تكنولوجيا المعلومات الخاصة بك بشكل فعال؟
الدرجة الأساسية لنظام تسجيل الثغرات الأمنية المشترك (CVSS)
وفقًا لمطوريه، يعد نظام تسجيل الثغرات الأمنية المشترك (CVSS) أداة لوصف خصائص وشدة الثغرات الأمنية في البرمجيات. وتتم صيانة نظام تسجيل الثغرات الأمنية المشترك (CVSS) بواسطة منتدى فرق الاستجابة للحوادث والأمان (FIRST). وقد أُنشِئَ لمساعدة الخبراء على التحدث بلغة مشتركة عن الثغرات الأمنية، وتسهيل المعالجة التلقائية للبيانات المتعلقة بعيوب البرمجيات. وتتضمن كل ثغرة أمنية تقريبًا منشورة في سجلات الثغرات الأمنية الرئيسية مثل CVE أو EUVD أو CNNVD تقييمًا للشدة بناءً على مقياس نظام تسجيل الثغرات الأمنية المشترك (CVSS).
يتكون التقييم عادةً من جزأين رئيسيين:
- تقييم رقمي (درجة CVSS)، يُظهر مدى خطورة الثغرة الأمنية على مقياس من 0 إلى 10. وتشير درجة 10 إلى أنها ثغرة أمنية حرجة وخطيرة للغاية.
- الناقل، وهو سلسلة نصية موحدة تصف الخصائص الرئيسية للثغرة الأمنية. ويتضمن هذا تفاصيل مثل ما إذا كان من الممكن استغلالها عن بعد عبر الشبكة أو محليًا فقط، وما إذا كانت هناك حاجة لامتيازات عالية، ومدى تعقيد الاستغلال، والجوانب المتأثرة (مثل التوافر أو السلامة أو السرية) من النظام المعرض للثغرة جراء الاستغلال.
إليك مثال باستخدام الثغرة الأمنية شديدة الخطورة التي يتم استغلالها بنشاط CVE-2021-44228 (Log4Shell): الدرجة الأساسية 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
دعونا نحلل ذلك: يعتمد ناقل الهجوم على الشبكة، وتعقيد الهجوم منخفض، والامتيازات المطلوبة: لا شيء، لا يتطلب تفاعل المستخدم، ويشير النطاق إلى أن الثغرة الأمنية تؤثر على مكونات النظام الأخرى، والتأثير على السرية والسلامة والتوافر مرتفع. تتوفر أوصاف تفصيلية لكل مكون في مواصفات CVSS 3.1 وCVSS 4.0.
يتمثل جزء أساسي من نظام تسجيل الثغرات الأمنية المشترك (CVSS) في منهجية التسجيل الخاصة به – المعروفة أيضًا باسم “الآلة الحاسبة”، وهي متاحة للإصدارين 4.0 و3.1. ومن خلال ملء جميع مكونات الناقل، يمكنك تلقائيًا الحصول على درجة خطورة عددية.
تضمنت منهجية حساب نظام تسجيل الثغرات الأمنية المشترك (CVSS) الأصلية ثلاث مجموعات قياس: الأساسية والزمنية والبيئية. وتغطي المجموعة الأولى الخصائص الأساسية والثابتة للثغرة الأمنية ، وتشكل الأساس لحساب درجة CVSS الأساسية. وتتضمن المجموعة الثانية خصائص يمكن أن تتغير بمرور الوقت – مثل توفر التعليمات البرمجية للاستغلال المنشورة. وقد صُممت المجموعة الثالثة للاستخدام التنظيمي الداخلي لأخذ العوامل الخاصة بالسياق في الاعتبار، مثل نطاق التطبيق المعرض للخطر أو وجود ضوابط أمان مخففة في البنية التحتية للمؤسسة. وفي الإصدار CVSS 4.0، تطورت المقاييس الزمنية إلى مقاييس التهديد، وتم إدخال مجموعة جديدة من المقاييس التكميلية.
إليك كيفية ترابط المقاييس. ويتولى بائعو البرامج أو شركات الأمن الإلكتروني عادةً تقييم الخطورة الأساسية للثغرة الأمنية (يشار إليها باسم “CVSS-B” في مواصفات الإصدار 4.0). وغالبًا ما توفر أيضًا تقييمًا يتعلق بتوفر واستغلال الثغرة علنًا (CVSS-BT في الإصدار 4.0، والزمنية في الإصدار 3.1). ويمثل هذا التقييم درجة أساسية معدلة؛ لذلك يمكن أن تكون درجة CVSS-B أعلى أو أقل من درجة CVSS-BT. وبالنسبة للدرجة البيئية (CVSS-BTE)، يتم حسابها داخل مؤسسة معينة بناءً على درجة CVSS-BT، مع التعديلات التي تم إجراؤها وفقًا لظروفها الفريدة لاستخدام البرنامج المعرض للثغرة.
تطور نظام تسجيل الثغرات الأمنية المشترك (CVSS)
نادرًا ما يُستخدم الإصداران الأول والثاني من نظام تسجيل الثغرات الأمنية المشترك (CVSS)، اللذان صدرا في عامي 2005 و2007. وبينما قد لا تزال تجد درجات CVSS لأقدم لثغرات أمنية حديثة، فإن الإصدار CVSS 3.1 (2019) والإصدار CVSS 4.0 (2023) هما نظاما التسجيل الأكثر شيوعًا. ومع ذلك، لا يستعجل العديد من بائعي البرامج وسجلات الثغرات الأمنية في اعتماد الإصدار 4.0، ويواصلون توفير درجات CVSS 3.1.
كانت الفكرة الأساسية وراء الإصدار الأول من CVSS هي قياس شدة الثغرات الأمنية عبر نظام تسجيل – مع فصل مبدئي إلى مقاييس أساسية وزمنية وبيئية. وفي تلك المرحلة، كانت الأوصاف النصية موحدة بشكل فضفاض، وكانت المجموعات الثلاث من المقاييس تُحسب بشكل مستقل.
قدم الإصدار CVSS 2.0 سلسلة ناقل موحدة ومنطقًا جديدًا: درجة أساسية إلزامية وغير قابلة للتغيير، ودرجة زمنية تُحسب من الدرجة الأساسية لكنها تراعي العوامل المتغيرة، ودرجة بيئية تُستخدم داخل مؤسسات وظروف محددة مشتقة إما من الدرجة الأساسية أو الزمنية.
أضاف الإصداران 3.0 و3.1 مفهوم النطاق (التأثير على مكونات النظام الأخرى). وقد هذان الإصداران تعريفًا أكثر دقة للمعايير المتعلقة بالامتيازات المطلوبة وتفاعل المستخدم، وعمما وصقلا قيم العديد من المعايير. والأهم من ذلك، حاول هذان الإصداران ترسيخ حقيقة أن CVSS يقيس شدة الثغرة الأمنية – وليس المخاطر التي تتسبب فيها.
في الإصدار 4.0، كان المنشئون يهدفون إلى جعل مقياس CVSS أكثر فائدة للتقييمات على مستوى الأعمال لكيفية تأثير الثغرات الأمنية على المخاطر. ومع ذلك، لا يزال هذا ليس مقياسًا للمخاطر. وتم تقسيم تعقيد الهجوم إلى مكونين متميزين: متطلبات الهجوم وتعقيد الهجوم. ويبرز هذا الاختلاف بين الصعوبة الهندسية الكامنة للهجوم والعوامل الخارجية أو الظروف اللازمة لنجاح الهجوم. ومن الناحية العملية، يعني هذا أن الخلل الذي يتطلب تكوينًا محددًا غير افتراضي على المنتج المعرض للثغرة الأمنية ليتم استغلاله ستكون له متطلبات هجوم أعلى، وبالتالي، درجة CVSS إجمالية أقل.
تم استبدال مقياس النطاق الذي غالبًا ما يُساء فهمه، والذي قدم ببساطة خياري “نعم” أو “لا” لأجل “التأثير على المكونات الأخرى”. وقدم المطورون مفهومًا أكثر وضوحًا “للأنظمة اللاحقة”، والذي يحدد الآن الجانب المتأثر من عملياتها جراء الثغرة الأمنية. بالإضافة إلى ذلك، أُضيفت مجموعة من المؤشرات الداعمة – مثل أتمتة استغلال ما وتأثير الاستغلال على السلامة الجسدية البشرية. وخضعت الصيغ نفسها لمراجعات جوهرية. وأُعيد تقييم تأثير المكونات المختلفة على درجة التهديد الرقمية بناءً على قاعدة بيانات ضخمة من الثغرات الأمنية وبيانات الاستغلال في العالم الحقيقي.
كيف يعمل الإصدار CVSS 4.0 على تغيير أولويات الثغرات الأمنية
بالنسبة لمحترفي الأمن الإلكتروني، يهدف الإصدار CVSS 4.0 إلى أن يكون أكثر عملية وملاءمة لواقع اليوم. ونواجه عشرات الآلاف من الثغرات الأمنية – يحصل الكثير منها على درجة CVSS عالية. ويؤدي هذا غالبًا إلى وسمها تلقائيًا للمعالجة الفورية في العديد من المؤسسات. وتكمن المشكلة في أن هذه القوائم تتزايد باستمرار، ويقترب متوسط الوقت لإصلاح الثغرة الأمنية من سبعة أشهر.
عند إعادة تقييم الثغرات الأمنية من الإصدار CVSS 3.1 إلى الإصدار CVSS 4.0، تميل الدرجة الأساسية للعيوب التي تتراوح خطوراتها بين 4.0 و9.0 إلى الزيادة بشكل طفيف. ومع ذلك، بالنسبة إلى الثغرات الأمنية التي تم اعتبارها شديدة الخطورة في الإصدار CVSS 3.1، تظل النتيجة في كثير من الأحيان دون تغيير أو حتى تنخفض. والأهم من ذلك، في حين أن المقاييس الزمنية لم يكن لها تأثير يذكر على التصنيف العددي للثغرات الأمنية من قبل، إلا أن تأثير مقاييس التهديد والبيئة أصبح الآن أكثر أهمية بكثير. وأجرت شركة Orange Cyberdefense دراسة لتوضيح ذلك. تخيل أن شركة ما تتابع 8000 ثغرة أمنية، وأن فرق تكنولوجيا المعلومات والأمان يُطلب منها إصلاح جميع العيوب مع درجة CVSS أساسية أعلى من 8 خلال إطار زمني محدد. ما النسبة المئوية من هذه الثغرات الأمنية البالغ عددها 8000 في العالم الحقيقي التي ستندرج ضمن هذه الفئة – مع أو بدون النظر إلى تعرض الجمهور لثغرات الاستغلال (التعديل الزمني / التهديد)؟ وجدت الدراسة أن الإصدار CVSS 4.0، في نسخته الأساسية، يمنح درجة 8 أو أعلى لنسبة أكبر من الثغرات الأمنية (33% مقارنة بنسبة 18% في الإصدار 3.1). ومع ذلك، عند تعديله وفقًا لتوافر ثغرات الاستغلال، ينخفض هذا الرقم بشكل كبير – مما يترك عددًا أقل من العيوب الحرجة حقًا لتحديد أولوياتها (8% مقابل 10%).
حرج وعالٍ وكل شيء بينهما
ما الفرق بين الثغرة الأمنية “الحرجة” والثغرة الأمنية الخطيرة فقط؟ يعتبر وصف الخطورة المستند إلى النص جزءًا من المواصفات – لكنه ليس مطلوبًا دائمًا في وصف الثغرات الأمنية:
- خطورة منخفضة: 0.1-3.9
- خطورة متوسطة: 4.0–6.9
- خطورة عالية: 7.0–8.9
- خطورة حرجة: 9.0-10.0
من الناحية العملية، يتبع العديد من بائعي البرامج نهجًا إبداعيًا لهذه الأوصاف النصية. وقد يقومون بتعديل الأسماء أو دمج تقييماتهم وعواملهم الخاصة غير المدرجة في CVSS. ومن الأمثلة على ذلك تصحيح Microsoft لشهر يونيو – تحديدًا الثغرتان CVE-2025-33064 وCVE-2025-32710. وتم وصف الأولى بأنها “هامة” والثانية بأنها “حرجة”، ومع ذلك فإن درجاتهما في CVSS 3.1 هي 8.8 و8.1 على التوالي.
النصائح