عندما تواجه نظام تسجيل الثغرات الأمنية الشائعة (CVSS) لأول مرة، قد يبدو لك الأداة المثالية لفرز الثغرات الأمنية وتحديد أولوياتها. تعني درجة أعلى بالضرورة ثغرة أمنية أكثر خطورة، أليس كذلك؟ في الواقع، هذا النهج لا ينجح دائمًا. وفي كل عام، نرى عددًا متزايدًا من الثغرات الأمنية ذات درجات CVSS عالية. ولا تستطيع فرق الأمن تصحيحها كلها في الوقت المناسب، لكن الغالبية العظمى من هذه العيوب لا تُستغل أبدًا في هجمات العالم الحقيقي. وفي الوقت نفسه، يستغل المهاجمون باستمرار الثغرات الأقل شهرة وذات الدرجات المنخفضة. وهناك أيضًا مخاطر خفية أخرى تتراوح من قضايا فنية بحتة مثل تضارب درجات CVSS إلى قضايا مفاهيمية مثل نقص سياق الأعمال.
هذه ليست بالضرورة أوجه قصور في نظام CVSS بحد ذاته. وبدلاً من ذلك، يسلط هذا الضوء على الحاجة إلى استخدام الأداة بشكل صحيح، كجزء من عملية إدارة ثغرات أمنية أكثر تطورًا وشمولية.
تناقضات نظام تسجيل الثغرات الأمنية الشائعة (CVSS)
هل لاحظت من قبل كيف يمكن أن تحصل الثغرة الأمنية نفسها على درجات خطورة مختلفة اعتمادًا على المصدر المتاح؟ درجة من باحث الأمن الإلكتروني الذي اكتشفها، وأخرى من بائع البرنامج المتأثر، وربما درجة ثالثة من قاعدة بيانات وطنية للثغرات الأمنية؟ والأمر ليس مجرد خطأ بسيط دائمًا. وفي بعض الأحيان، قد يختلف الخبراء حول سياق الاستغلال. وقد تكون لديهم أفكار مختلفة عن الامتيازات التي يعمل بها تطبيق ضعيف، أو ما إذا كان مكشوفًا للإنترنت. على سبيل المثال، قد يعتمد البائع في تقييمه على أفضل الممارسات الموصى بها، بينما قد ينظر باحث أمني إلى كيفية تكوين التطبيقات عادةً في المؤسسات الواقعية. وقد يُصنف أحد الباحثين تعقيد الاستغلال بأنه عالٍ، بينما يعتبره آخر منخفضًا. وهذا ليس أمرًا نادر الحدوث. وقد وجدت دراسة أجرتها Vulncheck في عام 2023 أن 20% من الثغرات الأمنية في قاعدة بيانات الثغرات الأمنية الوطنية (NVD) حصلت على درجتي CVSS3 من مصدرين مختلفين، وأن 56% من تلك الدرجات المتطابقة كانت متعارضة مع بعضها البعض.
الأخطاء الشائعة عند استخدام نظام تسجيل الثغرات الأمنية الشائعة (CVSS)
لأكثر من عقد من الزمان، دعت FIRST إلى التطبيق الصحيح من الناحية المنهجية لنظام CVSS. ومع ذلك، تستمر المؤسسات التي تستخدم تقييمات CVSS في عمليات إدارة الثغرات الأمنية الخاصة بها في ارتكاب أخطاء نموذجية:
- استخدام درجة CVSS الأساسية كمؤشر للمخاطر الأولية. ويقيس CVSS خطورة الثغرة الأمنية – ليس متى يتم استغلالها أو التأثير المحتمل لاستغلالها على المؤسسة المستهدفة بالهجوم. وفي بعض الأحيان، تكون الثغرة الخطيرة غير ضارة داخل بيئة شركة معينة لأنها توجد في أنظمة غير مهمة ومعزولة. وعلى العكس من ذلك، قد يبدأ هجوم برامج طلب الفدية على نطاق واسع بثغرة أمنية تبدو غير ضارة لتسرب المعلومات بدرجة CVSS 6.
- استخدام نتيجة CVSS الأساسية بدون تعديلات التهديد / الزمنية والبيئية. ويؤثر توافر التصحيحات ثغرات الاستغلال العامة والإجراءات التعويضية بشكل كبير على كيفية ومدى إلحاح معالجة ثغرة أمنية.
- التركيز فقط على الثغرات الأمنية ذات الدرجات الأعلى من حد معين. يتم فرض هذا النهج أحيانًا من قبل الجهات التنظيمية الحكومية أو الصناعية (“معالجة الثغرات الأمنية بدرجة CVSS أعلى من 8 في غضون شهر واحد”). ونتيجة لذلك، تواجه فرق الأمن الإلكتروني عبء عمل متزايدًا باستمرار لا يجعل بنيتها التحتية أكثر أمانًا في الواقع. وازداد عدد الثغرات الأمنية بدرجات CVSS العالية المكتشفة سنويًا بسرعة على مدى السنوات العشر الماضية.
- استخدام CVSS لتقييم احتمالية الاستغلال. هذه المقاييس غير مترابطة بشكل جيد: 17% فقط من الثغرات الأمنية الحرجة تُستغل فعليًا في الهجمات.
- الاكتفاء بتصنيف CVSS فقط. تم إدخال سلسلة الناقل الموحدة في CVSS لتمكين المدافعين من فهم تفاصيل الثغرة الأمنية وحساب أهميتها بشكل مستقل داخل مؤسساتهم. وتمت مراجعة الإصدار CVSS 4.0 على وجه التحديد لتسهيل حساب سياق الأعمال باستخدام مقاييس إضافية. وستكون أي جهود لإدارة الثغرات الأمنية تستند فقط إلى تصنيف رقمي غير فعالة إلى حد كبير.
- تجاهل مصادر المعلومات الإضافية. لا يكفي الاعتماد على قاعدة بيانات واحدة للثغرات الأمنية وتحليل CVSS فقط. ويؤدي غياب بيانات عن التصحيحات وإثباتات عملية للمفهوم وحالات الاستغلال في العالم الحقيقي إلى صعوبة تحديد كيفية معالجة الثغرات الأمنية.
ما لا يخبرك به نظام تسجيل الثغرات الأمنية الشائعة (CVSS) عن الثغرة الأمنية
نظام تسجيل الثغرات الأمنية الشائعة (CVSS) هو المعيار الصناعي لوصف خطورة ثغرة أمنية، والظروف التي يمكن استغلالها فيها، وتأثيرها المحتمل على نظام متضرر. ومع ذلك، بخلاف هذا الوصف (ودرجة CVSS الأساسية)، هناك الكثير مما لا يغطيه:
- من الذي اكتشف الثغرة الأمنية؟ هل كان البائع، أم باحث أخلاقي، هو من أبلغ عن العيب وانتظر التصحيح، أم كان طرفًا خبيثًا؟
- هل يتوفر استغلال علني؟ بعبارة أخرى، هل توجد تعليمات برمجية جاهزة ومتاحة بسهولة لاستغلال الثغرة الأمنية؟
- ما مدى عملية استغلالها في سيناريوهات العالم الحقيقي؟
- هل يتوفر تصحيح؟ هل يغطي جميع إصدارات البرامج المتأثرة، وما الآثار الجانبية المحتملة لتطبيقه؟
- هل يجب على المؤسسة معالجة الثغرة الأمنية؟ أم أنها تؤثر على خدمة سحابية (SaaS) حيث يقوم مزود الخدمة بإصلاح العيوب تلقائيًا؟
- هل هناك مؤشرات على استغلال الثغرة فعليًا؟
- في حال عدم وجود أي مؤشرات، ما مدى احتمالية استغلال المهاجمين لهذه الثغرة مستقبلًا؟
- ما الأنظمة المحددة المعرضة للخطر داخل مؤسستك؟
- هل الاستغلال متاح عمليا للمهاجم؟ على سبيل المثال، قد يكون النظام خادم ويب خاص بالشركة يمكن لأي شخص الوصول إليه عبر الإنترنت، أو قد يكون طابعة عرضة للاختراق متصلة فعليًا بكمبيوتر واحد لا يملك وصولاً إلى الشبكة. وقد يكون هناك مثال أكثر تعقيدًا هو ثغرة أمنية في في إحدى وظائف مكون برمجي، حيث لا يستدعي تطبيق تجاري محدد يستخدم هذا المكون هذه الوظيفة على الإطلاق.
- ماذا سيحدث في حالة اختراق الأنظمة المعرضة للخطر؟
- ما التكلفة المالية لمثل هذا الحدث على الشركة؟
تؤثر كل هذه العوامل بشكل كبير على قرار تحديد توقيت وكيفية معالجة الثغرة الأمنية، أو حتى ما إذا كانت المعالجة ضرورية من الأساس.
كيف يمكنك تعديل نظام تسجيل الثغرات الأمنية الشائعة (CVSS)؟ لدى إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) الجواب!
تعد الكثير من العوامل التي يصعب غالبًا أخذها في الاعتبار ضمن نطاق CVSS أساسًا لنهج شائع يُعرف باسم إدارة الثغرات الأمنية القائمة على المخاطر (RBVM).
إدارة الثغرات الأمنية القائمة على المخاطر (RBVM) هي عملية دورية شاملة، تتضمن عدة مراحل رئيسية تتكرر بانتظام:
- جرد جميع أصول تكنولوجيا المعلومات في عملك. يتضمن هذا كل شيء من أجهزة الكمبيوتر والخوادم والبرامج إلى الخدمات السحابية وأجهزة إنترنت الأشياء.
- ترتيب أولويات الأصول حسب الأهمية: تحديد كنوزك الثمينة.
- فحص الأصول للبحث عن الثغرات الأمنية المعروفة.
- إثراء بيانات الثغرات الأمنية. يتضمن ذلك تحسين تصنيفي CVSS-B وCVSS-BT، ودمج معلومات التهديد، وتقييم احتمالية الاستغلال. وهناك أداتان شائعتان لقياس قابلية الاستغلال هما EPSS (تصنيف أولي آخر من FIRST يوفر نسبة مئوية لاحتمال الاستغلال في العالم الحقيقي لمعظم الثغرات الأمنية)، وقواعد البيانات الاستشارية مثل CISA KEV، التي تحتوي على معلومات عن الثغرات الأمنية التي يستغلها المهاجمون بنشاط.
- تحديد سياق العمل: فهم التأثير المحتمل للاستغلال على الأنظمة المعرضة للخطر، مع مراعاة تكويناتها وكيفية استخدامها داخل مؤسستك.
- تحديد كيفية تحييد الثغرة الأمنية، إما عبر التصحيحات أو الإجراءات التعويضية.
- الجزء الأكثر إثارة: تقييم مخاطر العمل وتحديد الأولويات بناءً على جميع البيانات التي تم جمعها. وتُعطى الأولوية للثغرات الأمنية ذات الاحتمالية الأعلى للاستغلال والتأثير الكبير المحتمل على أصولك الرئيسية لتكنولوجيا المعلومات. ولتصنيف الثغرات الأمنية، يمكنك إما حساب CVSS-BTE – دمج جميع البيانات المجمعة في المكون البيئي، أو استخدام منهجيات ترتيب بديلة. وتؤثر الجوانب التنظيمية أيضًا على تحديد الأولويات.
- تحديد مواعيد نهائية لحل كل ثغرة أمنية بناءً على مستوى مخاطرها والاعتبارات التشغيلية، مثل أنسب وقت للتحديثات. وإذا لم تكن التحديثات أو التصحيحات متاحة، أو إذا كان تطبيقها يقدم مخاطر وتعقيدات جديدة، يتم اعتماد تدابير تعويضية بدلاً من المعالجة المباشرة. وفي بعض الأحيان، تفوق تكلفة إصلاح ثغرة الأمنية المخاطر التي تشكلها، وقد يُتخذ قرار بعدم معالجتها على الإطلاق. وفي مثل هذه الحالات، تقبل الشركة بوعي مخاطر استغلال الثغرات الأمنية.
بالإضافة إلى ما ناقشناه، من الضروري تحليل مشهد الثغرات الأمنية والبنية التحتية لتكنولوجيا المعلومات في شركتك بشكل دوري. وبعد هذا التحليل، تحتاج إلى إدخال تدابير للأمن الإلكتروني تمنع استغلال فئات كاملة من الثغرات الأمنية أو تعزز بشكل كبير الأمن العام لأنظمة تكنولوجيا المعلومات المحددة. ويمكن أن تتضمن هذه الإجراءات تجزئة الشبكة الدقيقة، وتطبيق مبدأ الحد الأدنى من الامتيازات، واعتماد سياسات أكثر صرامة لإدارة الحسابات.
تقلل عملية إدارة الثغرات الأمنية القائمة على المخاطر (RBVM)، عند تطبيقها بشكل صحيح، العبء الواقع على فرق تكنولوجيا المعلومات والأمان بشكل كبير. ويقضون وقتهم بشكل أكثر فاعلية حيث تتوجه جهودهم بشكل أساسي نحو العيوب التي تشكل تهديدًا حقيقيًا للأعمال. ولفهم حجم مكاسب الكفاءة وتوفير الموارد هذه، انظر دراسة FIRST التالية. ويتيح لك تحديد أولويات الثغرات الأمنية باستخدام EPSS وحده التركيز على 3% فقط من الثغرات الأمنية مع تحقيق كفاءة بنسبة 65%. وفي تناقض صارخ، يتطلب تحديد الأولويات باستخدام CVSS-B معالجة نسبة هائلة تبلغ 57% من الثغرات بكفاءة بائسة لا تتجاوز 4%. وهنا، تشير “الكفاءة” إلى المعالجة الناجحة للثغرات الأمنية التي تُستغل بالفعل في العالم الحقيقي.