النظام العام لنقاط الثغرات الأمنية (CVSS)

أنت تواجه عددًا كبيرًا جدًا من الثغرات الأمنية لا يمكن معالجتها كلها. 

أفاد المعهد الوطني للمعايير والتكنولوجيا (NIST) مؤخراً أنه تلقى في عام 2024 زيادة بنسبة 32% في عمليات إرسال الثغرات الأمنية مقارنةً بالعام السابق، وهو اتجاه من المتوقع أن يستمر طوال عام 2025. 

سجلت الثغرات الأمنية وحالات التعرّض للمخاطر الشائعة (CVE) زيادة مماثلة قدرها (20%) في عام 2024. في نهاية شهر مايو 2025، تجاوز عدد الثغرات المُسجَّلة في قاعدة بيانات الثغرات الأمنية وحالات التعرّض للمخاطر الشائعة (CVE) حاجز 280,000 ثغرة.

في ظل هذا الكم الهائل من الثغرات الأمنية، لا يمكن لفرق عملك معالجة كل ثغرة— ولن تضطر إلى ذلك. 

الحل يكمن في إيجاد طريقة لتركيز جهودك على المخاطر الأكثر أهمية. 

وهنا تبرز أهمية النظام العام لنقاط الثغرات الأمنية (CVSS).

يتولى النظام العام لنقاط الثغرات الأمنية (CVSS) مهمة تقدير الخطورة الفنية للثغرات الأمنية.

تُشرف FIRST على النظام العام لنقاط الثغرات الأمنية (CVSS)، الذي يخصص لكل ثغرة أمنية درجة بين 0.0 و10.0 بناءً على مقاييس قابلية الاستغلال والتأثير المدمجة. تُسهم هذه الدرجات في مساعدة فرق العمل على تحديد الأولويات والتواصل بشأن مستوى المخاطر.

يتم تضمين تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) في معظم أدوات فحص الثغرات الأمنية وإرشادات التهديدات وعمليات سير عمل إدارة التصحيح. إنه يمنح فرق الأمن وسيلة موحدة لمقارنة الثغرات الأمنية عبر مختلف الأنظمة والموردين. 

في حين أن النظام العام لنقاط الثغرات الأمنية (CVSS) يعد أساسيًا، إلا أنه بعيد كل البعد عن أن يكون كافيًا بمفرده.

إن النظام العام لنقاط الثغرات الأمنية (CVSS) لا يخبرك بما هو عرضة للخطر عن طريق استغلاله في بيئتك. ولا يأخذ في الاعتبار مخاطر الأعمال. ولا يتكيف مع سلوك المهاجمين. 

لهذا السبب تستخدم Tenable النظام العام لنقاط الثغرات الأمنية (CVSS) كنقطة انطلاق، ولكنها تبني عليه لاحقًا من خلال تصنيف أولوية الثغرات الأمنية (VPR)، وإشارات التهديدات في الوقت الفعلي، وسياق الهوية السحابية، ونطاق الدرجات الموحدة عبر Tenable One.

لنستعرض تفصيليًا آلية عمل النظام العام لنقاط الثغرات الأمنية (CVSS)، ونقاط ضعفه، وطريقة توظيفه ضمن نهج أكثر ذكاءً وقائم على المخاطر لإدارة الثغرات الأمنية.

تستخدم درجات النظام العام لنقاط الثغرات الأمنية (CVSS) صيغة موحدة من المقاييس: الأساسية، والزمنية، والبيئية

المقاييس الأساسية

الخصائص الجوهرية للثغرة الأمنية:

• ناقل الهجوم (AV)
  • هل يمكن للمهاجم استغلال الثغرة الأمنية عبر الشبكة أو الوصول المحلي أو المادي؟ 
  • تحقق الثغرات الأمنية التي يمكن استغلالها عن بُعد (ناقل الهجوم: الشبكة) درجات أعلى.
• تعقيد الهجوم (AC)
  • هل يتطلب الاستغلال تكوينات غريبة، أو توقيتًا محددًا، أو حالات غير شائعة للنظام؟
• الامتيازات المطلوبة (PR)
  • ما حجم الوصول الذي يحتاج إليه مرتكب الهجوم قبل أن يتمكن من استغلال الثغرة الأمنية؟
• تفاعل المستخدم (UI)
  • هل يتطلب الهجوم من المستخدم النقر على رابط أو فتح ملف أو اتخاذ إجراءات أخرى؟
• النطاق (S)
  • هل تؤثر الثغرة الأمنية على المكون فقط أم أن لها تأثيرًا يتجاوز الحدود؟
• التأثير (CIA)
  • يقيس فقدان السرية والنزاهة والتوافر.

المقاييس الزمنية

تُعدّل هذه المقاييس الدرجة بناءً على المشهد الحالي لاستغلال الثغرات الأمنية:

• جاهزية كود الاستغلال
  • هل يتوفر كود استغلال علني؟
• مستوى المعالجة
  • هل يتوفر تصحيح أمني؟
• موثوقية التقرير
  • ما مدى التحقق من صحة الثغرة الأمنية؟

المقاييس البيئية

تساعدك على تعديل الدرجات بناءً على بيئتك:

• المتطلبات الأمنية
  • ما مدى أهمية السرية والنزاهة والتوافر بالنسبة لعملك؟
• المقاييس الأساسية المعدلة
  • استخدمها عندما تقلل الضوابط أو إجراءات التخفيف من حدة الخطورة.

مستويات الخطورة

تندرج درجات النظام العام لنقاط الثغرات الأمنية (CVSS) بعد ذلك ضمن مستويات الخطورة هذه:

• لا توجد (0.0)
• منخفضة (0.1-3.9)
• متوسطة (4.0-6.9)
• عالية (7.0-8.9)
• حرجة (9.0-10.0)

هل ترغب في معرفة كيف يتكامل النظام العام لنقاط الثغرات الأمنية (CVSS) في برنامج حديث لإدارة الثغرات الأمنية؟ تعرَّف على Tenable Vulnerability Management لترى كيف يجمع بين درجات التقييم الثابتة وبين نظام تحديد أولويات يمكن تشغيله آليًا.

يوفر النظام العام لنقاط الثغرات الأمنية (CVSS) لغة موحدة لوصف مستوى الخطورة. وهو بذلك يُمكِّن فرق الأمن من فرز الثغرات الأمنية، وفرق البنية التحتية من تحديد أولويات المعالجة، ويسمح للمسؤولين التنفيذيين بفهم المخاطر الحرجة، كل ذلك من الناحية النظرية.

عندما يعمل الجميع وفقًا للدرجة الموحدة ذاتها، يمكنك تحقيق ما يلي:

• أتمتة حدود التصحيح
• إنشاء اتفاقيات مستوى الخدمة (SLA) بناءً على مستويات الخطورة
• توحيد معايير لوحات المتابعة وإعداد التقارير
• مواءمة فرق المعالجة حول تعريفات مشتركة للمخاطر

لكن مستوى الخطورة يختلف عن الخطر. والنظام العام لنقاط الثغرات الأمنية (CVSS) لا يوضح لك الآتي:

• ما إذا كان بإمكان المهاجم استغلال ثغرة أمنية في بيئتك
• ما إذا كان ذلك يؤثر على أصولك الأكثر حساسية
• ما إذا كان المهاجم يستخدمونه بنشاط

هنا يأتي دور تصنيف أولوية الثغرة الأمنية ليحدث فرقًا جوهريًا.

إذا كان النظام العام لنقاط الثغرات الأمنية (CVSS) يخبرك بمدى السوء الذي قد تكون عليه الثغرة الأمنية، فإن تحديد الأولويات بناءً على المخاطر يخبرك بما يجب عليك إصلاحه أولًا. هذا التمييز أمر بالغ الأهمية.

تعتمد Tenable على النظام العام لنقاط الثغرات الأمنية (CVSS) كنقطة انطلاق، ثم تضيف إليه تصنيف أولوية الثغرة الأمنية (VPR) لمساعدتك على إدراك:

• هل يستغل مرتكبو الهجوم هذه الثغرة الأمنية على أرض الواقع؟
• هل تعرض هذه الثغرة الأنظمة المهمة للأعمال للخطر؟
• هل يمكن الوصول إليها من الخارج؟
• هل يمكن لممثل تهديد أن يستخدمها كجزء من مسار تصعيد الامتيازات أو الحركة الجانبية؟

يتضمن تصنيف أولوية الثغرة الأمنية (VPR) من Tenable ما يلي:

• جاهزية الاستغلال والنشاط من مصادر واقعية
• التحليل الذكي للتهديدات وتحديد سلوك المهاجمين
• أهمية الأصول بناءً على أهمية الأعمال
• مسارات التعرض للخطر، بما في ذلك إساءة استخدام الهوية ومخاطر التكوينات السحابية.
• مثال: 
  • يُظهر النظام العام لنقاط الثغرات الأمنية (CVSS) أن درجة خطورة ثغرة ما هي 9.8. بالاعتماد على درجة النظام العام لنقاط الثغرات الأمنية (CVSS) وحدها، قد تعتقد أنه يجب عليك معالجة الثغرة الأمنية فورًا. 
  • فارق تصنيف أولوية الثغرة الأمنية (VPR): يوضح لك تصنيف أولوية الثغرة الأمنية (VPR) أن الثغرة الأمنية تؤثر على خادم اختبار داخلي دون بيانات مستخدم، مما يحد من تأثيرها في حال استغلها أي مهاجم. وبالتالي، لم تعد الثغرة الأمنية التي تحمل درجة 9.8 وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS) تبدو بهذا القدر من المعالجة الفورية.
  • في غضون ذلك، يحدد تصنيف أولوية الثغرة الأمنية (VPR) ثغرة أمنية ذات مستوى أقل من النظام العام لنقاط الثغرات الأمنية (CVSS)، ولكن بما أنها موجودة في بيئة عمل متاحة للعامة مرتبطة بسجلات العملاء، ويفحصها ممثلو التهديد بشكل فعال، فإن لها الأولوية على الثغرة الأمنية ذات المستوى الأعلى من النظام العام لنقاط الثغرات الأمنية (CVSS).

هنا تكمن قيمة التقييم وتحديد الأولويات بناءً على المخاطر، ولهذا السبب تحديدًا لا يكفي الاعتماد على النظام العام لنقاط الثغرات الأمنية (CVSS) وحده.

تعرّف على المزيد حول كيفية اعتماد تصنيف أولوية الثغرة الأمنية (VPR) من Tenable على النظام العام لنقاط الثغرات الأمنية (CVSS) لتقييم قابلية الاستغلال وسلوك المهاجمين وأهمية الأصول.

في البيئات السحابية المعاصرة، قد يكون استخدام النظام العام لنقاط الثغرات الأمنية (CVSS) بمفرده مضللًا بشكل خطير. 

تتسم الأصول السحابية بالتغيير المستمر. إذ يتم تفعيل وإلغاء أعباء العمل كل دقيقة. فالحاوية التي تختفي بعد 10 دقائق لا تحمل نفس مستوى الخطر الذي يحمله خادم قاعدة بيانات دائم.

تعتمد مسارات الهجوم على الهوية. قد تكون الثغرة ذات الخطورة المتوسطة الموجودة على أصل مرتبط بدور ذي امتيازات عالية، أكثر خطورة من مشكلة ذات خطورة عالية موجودة على نقطة نهاية معزولة.

إن التكوينات غير الصحيحة تزيد من خطورة التعرض للتهديدات، ولا سيما في السحابة.

لا يراعي النظام العام لنقاط الثغرات الأمنية (CVSS) ما يلي:

• التكوينات غير الصحيحة الخاصة بالسحابة
• الهويات المعرضة للخطر بشكل مفرط
• إمكانية الوصول إلى الشبكة والحركة الجانبية
• الأصول سريعة الزوال التي تكشف بيانات عالية القيمة بشكل مؤقت

في هذه المرحلة، يوفر Tenable Cloud Security السياق الضروري. إنه يربط تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) بالوضع الأمني الحالي لبيئتك السحابية بشكل مباشر، مما يتيح لك:

• معرفة الثغرات الأمنية التي تتعرض لوصول خارجي
• معرفة الهويات التي يمكن الوصول إليها
• كشف المخاطر المتسلسلة عبر البنية الأساسية السحابية وفي مكان العمل

وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS): "هذه ثغرة أمنية حرجة".

في المقابل، توضح لك Tenable: "هذه ثغرة بالغة الخطورة، مكشوفة للعامة، وقابلة للاستغلال، ومتصلة ببيانات اعتماد المسؤول".

هذا هو ما يجب عليك إصلاحه أولًا.

يربط Tenable Cloud Security بين النظام العام لنقاط الثغرات الأمنية (CVSS)، والتكوينات غير الصحيحة للسحابة، ومخاطر إدارة الوصول والهوية. قم بتأمين سطح الهجوم السحابي لديك من خلال السياق المستمر.

لا يمثل النظام العام لنقاط الثغرات الأمنية (CVSS) سوى عنصر واحد في معادلة تحديد أولويات الثغرات الأمنية. دعونا نلقي نظرة على كيفية مقارنته بالنماذج الشائعة الأخرى.

نظام حساب درجات التنبؤ بالاستغلال (EPSS)

يعمل نظام حساب درجات التنبؤ بالاستغلال (EPSS ) على تقييم مدى احتمال استغلال ثغرة معينة من قبل المهاجم خلال فترة الثلاثين يومًا التالية. إنه يعتمد على الاحتمالات وليس على درجة الخطورة.

• ما يضيفه: سلوك المهاجمين والنمذجة الإحصائية
• ما يغفله: لا يعكس تأثير الأعمال أو السياق البيئي
• آلية عمله مع النظام العام لنقاط الثغرات الأمنية (CVSS): يجمع بينهما. يخبرك النظام العام لنقاط الثغرات الأمنية (CVSS) بمدى سوء الحالة، بينما يخبرك نظام حساب درجات التنبؤ بالاستغلال (EPSS) بمدى الاحتمالية.

على الأرجح، تعد الثغرة الأمنية التي تحصل على 6.8 وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS) واحتمالية استغلال 94% وفقًا لنظام حساب نقاط التنبؤ بالاستغلال (EPSS) أكثر أولوية من ثغرة أمنية بدرجة 9.8 لم يجرِ استغلالها مطلقًا.

الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVEs)

إن الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE) هي معرّف وليس درجة. يساعدك هذا المعرِّف في تتبع ثغرة أمنية محددة عبر مختلف الأدوات والموردين والإرشادات.

• ما يضيفه: التتبع والتوثيق المتسق
• ما يغفله: لا يخبرك بأي شيء عن المخاطر
• آلية عمله مع النظام العام لنقاط الثغرات الأمنية (CVSS): إقران الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE) (ما هي) بالنظام العام لنقاط الثغرات الأمنية (CVSS) (ما مدى سوء الحالة)

تصنيف مخاطر OWASP

يُستخدم نموذج OWASP بشكل أساسي في أمن التطبيقات، ولكنه يتسم بكونه يدويًا وذاتيًا بشكل أكبر. فهو يقيّم إمكانية الاكتشاف، وسهولة الاستغلال، وحجم التأثير، ورغم أنه مثالي لأعمال النمذجة، إلا أنه لا يلائم تحديد الأولويات على نطاق واسع.

إذًا، ما الذي يجب أن تستخدمه؟

إن دمج النظام العام لنقاط الثغرات الأمنية (CVSS) وتصنيف أولويات الثغرات الأمنية (VPR) ونظام حساب نقاط التنبؤ بالاستغلال (EPSS) وسياق الأصول يمنحك صورة أكثر شمولية بشأن المخاطر. 

يستخدم Tenable One هذا النموذج، حيث يدمج مستوى الخطورة واحتمالية الاستغلال والأثر على الأعمال ونطاق التعرض في عرض واحد له أولوية.

تبدأ إدارة الثغرات الأمنية بتحديد الثغرات، ولكنها لا تتوقف عند هذا الحد. 

فور عثور أداة الفحص الخاصة بك على ثغرة أمنية، يصبح من الضروري إيجاد آلية لتقييم خطورتها وترتيب أولوياتها للاستجابة. 

هنا يكمن الدور الرئيسي لعملية تقييم الثغرات الأمنية.

على مدار فترة طويلة، كان النظام العام لنقاط الثغرات الأمنية (CVSS) الركيزة الأساسية لتقييم الثغرات الأمنية. إنه يمنح فرق عملك طريقة متسقة لتحديد مستويات الخطورة بناءً على قابلية الاستغلال والتأثير. ويدعم لوحات المتابعة، واتفاقيات مستوى الخدمة (SLA) الخاصة بالتصحيح، وقواعد التصعيد، وخطط المعالجة.

غير أن إدارة الثغرات الأمنية الحديثة تستوجب أكثر من مجرد قياس الخطورة الفنية:

• يتعين عليك معرفة ما إذا كان المهاجمون يستغلون هذه الثغرة الأمنية فعليًا في الهجمات الجارية.
• يتعين عليك تحديد ما إذا كانت الثغرة الأمنية تؤثر على الأنظمة المهمة للأعمال أو تكشف عن بيانات حساسة.
• يتعين عليك مواءمة جهود المعالجة مع المخاطر الواقعية، بدلًا من مجرد الاعتماد على الدرجات النظرية.

لهذا السبب، تدمج Tenable النظام العام لنقاط الثغرات الأمنية (CVSS) ضمن نهج أوسع لإدارة الثغرات الأمنية بناءً على المخاطر. 

من خلال الجمع بين النظام العام لنقاط الثغرات الأمنية (CVSS) وتصنيف أولويات الثغرات الأمنية (VPR) وتوسيع نطاق التقييم باستخدام Tenable One، يمكنك التحول من ملاحقة أرقام النظام العام لنقاط الثغرات الأمنية (CVSS) العالية إلى اتخاذ إجراءات بشأن الثغرات الأمنية القابلة للاستغلال والمعرضة للخطر وذات الأهمية الحيوية.

إن عملية تقييم الثغرات الأمنية ركيزة أساسية، لكنها تعمل الآن ضمن إطار ديناميكي يتطور وفقًا لسلوك المهاجمين واحتياجات الأعمال.

يعد تقييم الثغرات الأمنية أمرًا مفيدًا، إلا أنك لن تعالج سوى جزء من المشكلة، ما لم تفهم كيفية تأثيرها على درجة تعرضك للخطر.

تركز إدارة التعرض للمخاطر على جميع المخاطر التي يمكن تفاديها (مثل الثغرات الأمنية، والتكوينات غير الصحيحة، والصلاحيات المفرطة) بشكل متكامل لتحديد مسارات الهجوم التي يمكن لممثلي التهديد استغلالها لإحداث أكبر قدر من الضرر، سواء كان ذلك في شكل تعطيل للأعمال أو تسريب للبيانات الحساسة.

Exposure management also identifies and reduces the conditions that weaken your security posture. Those conditions include vulnerabilities and:

• الخدمات السحابية المكوَّنة بشكل غير صحيح
• الهويات ذات الصلاحيات المفرطة
• الأصول الخارجية غير الآمنة
• المنافذ المفتوحة، والشهادات منتهية الصلاحية، وواجهات برمجة التطبيقات المهملة

في هذا السياق، يوفر تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) درجة الخطورة الأساسية للثغرة الأمنية، لكن Tenable تتجاوز ذلك من خلال دمج التقييم في إطار عمل أوسع ومستمر لإدارة التعرض للمخاطر. 

هنا يأتي دور Tenable One في الربط بين مخاطر الثغرات الأمنية ودرجة التعرض للمخاطر الواقعية.

كيف يبدو ذلك؟

• قد يتم تجاهل ثغرة أمنية بدرجة 5.5 وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS) في حال تقييمها بمعزل عن غيرها، ولكن إذا كانت مرتبطة بنظام مواجه للإنترنت مع ضوابط ضعيفة لإدارة الهوية والوصول (IAM)، فإن Tenable One تصنفها ضمن المخاطر العالية.
• وعلى النقيض من ذلك، قد لا تشكل ثغرة أمنية بدرجة 9.8 وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS) مخاطر جوهرية لمؤسستك، لذا يمكنك تأجيل معالجتها ما لم يطرأ تغيير على سياق التهديد.

يساعدك الدمج بين التقييم والتحليل الذكي لحالات التعرض للمخاطر على تحقيق ما يلي:

• تركيز المعالجة على الثغرات الأمنية التي تُنشئ مسارات هجوم عالية المخاطر
• تصور كيفية تداخل العيوب الفنية مع مخاطر الهوية ووضع الشبكة
• قياس الانخفاضات في المخاطر الحقيقية لسطح الهجوم والإبلاغ عنها، بدلًا من الاكتفاء بالإبلاغ عن درجات النظام العام لنقاط الثغرات الأمنية (CVSS)

عندما يصبح التقييم جزءًا من عملية إدارة التعرض للمخاطر، فإنه يتخطى كونه مجرد قيمة عددية ويتحول إلى مؤشر لاتخاذ الإجراءات.

تعتمد العديد من أُطر الامتثال التنظيمي على النظام العام لنقاط الثغرات الأمنية (CVSS) لتحديد متطلبات إدارة الثغرات الأمنية وفرضها، لكن تتفاوت طرق تطبيقه من قِبل الجهات التنظيمية.

أمثلة على الامتثال للنظام العام لنقاط الثغرات الأمنية (CVSS)

• PCI DSS v4.0 requires remediation of vulnerabilities with a CVSS score of 7.0 or higher within a defined time frame.
• HIPAA doesn’t mandate a response to vulnerabilities with a specific CVSS score in a specific timeframe, but risk assessments using CVSS are widely accepted as part of a covered entity’s security program.
• NIST 800-53 and NIST Cybersecurity Framework map controls to CVSS-based thresholds for vulnerability tracking and remediation response.
• ISO/IEC 27001 recognizes CVSS as a tool for risk assessment in Annex A.12.6.1 (technical vulnerability management).

يستخدم المدققون النظام العام لنقاط الثغرات الأمنية (CVSS) من أجل:

• التحقق من أنك قمت بتصنيف الثغرات الأمنية واتخذت إجراءات بناءً على الحدود المحددة
• تأكيد وجود اتفاقيات مستوى الخدمة (SLA) مفعّلة لتغطية التقييمات العالية/الحرجة
• التحقق من التزامك بالجداول الزمنية للمعالجة وتعقبها
• دعم توثيق الضوابط التعويضية أو التعهد بتحمل المخاطر للمشكلات المعلقة

مثال: قد تتطلب عملية تدقيق ربع سنوية دليلًا على أنك قمت بتصحيح أغلب الثغرات الأمنية التي تحمل درجة تبلغ 7.0 أو أكثر خلال 30 يومًا وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS)، أو قمت بالتعهد بتحمل المخاطر بشكل رسمي.

من خلال دمج النظام العام لنقاط الثغرات الأمنية (CVSS) مع مستوى أهمية الأصل وإشارات قابليته للاستغلال المتاحة في Tenable One، يمكنك تبرير الاستثناءات المبنية على المخاطر بما يتماشى مع متطلبات الامتثال، حتى في حال تعذّر المعالجة المثالية.

يجعل النظام العام لنقاط الثغرات الأمنية (CVSS) الامتثال مبررًا. وتجعل Tenable الأمر قابلًا للتنفيذ.

بالرغم من تبني العديد من المؤسسات للنظام العام لنقاط الثغرات الأمنية (CVSS)، إلا أن تطبيقه بفعالية يمثل تحديًا. وينطبق هذا بشكل خاص على الشركات الكبيرة ذات أسطح الهجوم المعقدة وفرق تكنولوجيا المعلومات والأمن والامتثال المتعددة. 

ولكن حتى المؤسسات الصغيرة غالبًا ما تواجه مشكلات مماثلة.

فيما يلي خمسة تحديات شائعة لتطبيق النظام العام لنقاط الثغرات الأمنية (CVSS) وطرق التغلب عليها:

1. عدم اتساق نتائج التقييم بين الأدوات

المشكلة: قد يظهر تباين في درجات النظام العام لنقاط الثغرات الأمنية (CVSS) أو نواقل الهجوم لنفس الثغرة الأمنية بين أدوات الفحص المتنوعة، مما يؤدي إلى حيرة الفرق في تحديد الدرجة الموثوقة التي يجب اعتمادها.

الحل: توحيد التقييم عبر بيئتك باستخدام مصدر موثوق واحد (مثل، قاعدة بيانات الثغرات الأمنية الوطنية (NVD)) والتحقق من سلاسل نواقل الهجوم. يتجنب نموذج البيانات الموحد الذي تستخدمه Tenable التناقضات عن طريق توحيد النتائج عبر الأدوات والبيئات المختلفة.

2. الاعتماد المفرط على النظام العام لنقاط الثغرات الأمنية (CVSS) لتحديد الأولويات

المشكلة: النظام العام لنقاط الثغرات الأمنية (CVSS) هو مقياس لدرجة الخطورة وليس للاستغلال الفعلي أو إمكانية الوصول أو التأثير على الأعمال. فالفِرق التي تقوم فقط بتصحيح الثغرات الأمنية ذات الدرجات العالية وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS) غالبًا ما تغفل عن المخاطر الحقيقية.

الحل: استخدم إشارات المخاطر الديناميكية من Tenable One، بما في ذلك تصنيف أولويات الثغرات الأمنية (VPR)، وبيانات الاستغلال، وأهمية الأصل. ادمج النظام العام لنقاط الثغرات الأمنية (CVSS) مع سياق الاحتمالية والتعرض للمخاطر للتركيز على الأولويات الحقيقية.

3. المقاييس البيئية المُهملة

المشكلة: تتجاهل العديد من المؤسسات تخصيص النظام العام لنقاط الثغرات الأمنية (CVSS) ليعكس أولوياتها الأمنية الخاصة، مما يؤدي إلى تحديد أولويات غير دقيق.

الحل: وضع سياسات للتقييم البيئي. على سبيل المثال، إذا كان التوافر أمرًا بالغ الأهمية (على سبيل المثال، في قطاع الرعاية الصحية)، يجب زيادة ترجيح هذا العامل في معادلة النظام العام لنقاط الثغرات الأمنية (CVSS) المخصصة لديك. وتوفر Tenable إمكانية أتمتة تعديلات هذه التقييمات.

4. الفرق المنعزلة والأدوات المجزّأة

المشكلة: يؤدي غياب منهجية تقييم مشتركة أو رؤية موحدة إلى عمل فرق الأمن والبنية التحتية والامتثال في هياكل منعزلة. ويكون تحديد الأولويات ذاتيًا أو مكررًا.

الحل: توحيد الرؤية عبر Tenable One. توفرلوحات معلومات وتنبيهات تدمج النظام العام لنقاط الثغرات الأمنية (CVSS) ولكنها تتجاوزه، بإشارات يمكن لجميع الفرق اتخاذ إجراءات بناءً عليها، ومنها: تعرض السحابة للمخاطر، ومسارات الوصول إلى الهوية، ومخاطر الحركة الجانبية، والمزيد.

5. يتطلب التطبيق الشامل للنظام العام لنقاط الثغرات الأمنية (CVSS) توفير السياق

في بيئات المؤسسات، يصبح النظام العام لنقاط الثغرات الأمنية (CVSS) فعالًا حقًا عند إقرانه بما يلي:

• التحليل الذكي للتهديدات والتنبؤ بالاستغلال
• الذكاء الاصطناعي والتحليلات للحد من التنبيهات الكاذبة
• تقييم التأثير على الأعمال
• سياق السحابة في الوقت الفعلي وقيمة الأصول

توفر Tenable كل هذه المزايا، محوِّلةً التقييم الثابت إلى منهجية ديناميكية لتحديد الأولويات بناءً على المخاطر.

تجمع Tenable One بين الأساس الذي يوفره النظام العام لنقاط الثغرات الأمنية (CVSS) والإشارات الواقعية والتحليل الذكي للأصول وسياق الأعمال، مما ينشئ نموذج تقييم موحدًا يهدف إلى تحديد أولويات المخاطر الأكثر أهمية لمؤسستك.

أسباب قصور درجات النظام العام لنقاط الثغرات الأمنية (CVSS) الثابتة:

• تتعامل مع كل بيئة بالطريقة نفسها
• ليست على دراية بالأنظمة المتاحة للعامة
• لا تضع في اعتبارها ما إذا كان المهاجمون يستغلون الثغرة الأمنية بشكل فعال
• لا تأخذ في الاعتبار قيمة الأصل، أو مستويات الامتيازات، أو مسارات الهجوم

يفترض النظام العام لنقاط الثغرات الأمنية (CVSS) أن: "هذا التهديد شديد من الناحية الفنية."

تسأل Tenable One: "هل هو شديد من الناحية الفنية، وهل يمكن استغلاله وهل الأصل معرض للخطر وهل يؤثر على الأصول المهمة للأعمال - في الوقت الحالي؟"

يتضمن تقييم المخاطر من Tenable One ما يلي:

مثال على التقييم: تحديد الأولويات موضع التنفيذ

لنفترض أنك اكتشفت 120 ثغرة أمنية في بيئة AWS الخاصة بك:

• 45 منها لديها درجات تتراوح بين 7.0 و9.8 وفقًا للنظام العام لنقاط الثغرات الأمنية (CVSS)
• 22 منها صنفتها Tenable One بمخاطر عالية استنادًا إلى إشارات واقعية.
• سبع ثغرات أمنية فقط هي التي تؤثر على أعباء العمل الأكثر أهمية أو هويات السحابة المعرضة للخطر

تساعدك Tenable One على:

• التركيز على العناصر السبعة التي تُشكّل المخاطر الفعلية
• تقليل الإرهاق الناتج عن التنبيهات وتراكم التصحيحات
• مواءمة المعالجة مع ما يهتم به فريقك التنفيذي حقًا: خسارة الإيرادات والإضرار بالسمعة

لا تحل Tenable One محل النظام العام لنقاط الثغرات الأمنية (CVSS). وإنما تكمله، فهي تتيح اتخاذ القرارات بناءً على السياق، وليس فقط على الدرجات.

هل أنت مستعد للانتقال إلى ما هو أبعد من التقييم الثابت؟ وحِّد رؤيتك مع منصة Tenable One وحدد الأولويات بناءً على مدى التعرض للمخاطر، وإمكانية الاستغلال، والتأثير على الأعمال.

ما المقصود بدرجة النظام العام لنقاط الثغرات الأمنية (CVSS)؟

إن درجة النظام العام لنقاط الثغرات الأمنية (CVSS) هي تقييم رقمي يتراوح بين 0.0 و10.0، وهو ما يعكس الخطورة الفنية لثغرة أمنية في البرنامج بناءً على مقاييس موحدة.

هل يعد النظام العام لنقاط الثغرات الأمنية (CVSS) مثل المخاطر؟

رقم يُظهر النظام العام لنقاط الثغرات الأمنية (CVSS) مدى الخطورة وليس الاحتمالية أو التأثير على الأعمال. تعتمد المخاطر على قابلية الاستغلال والتعرض للمخاطر والسياق.

ما الفرق بين حل اكتشاف نقطة النهاية واستجابتها (EDR) ونظام حساب نقاط التنبؤ بالاستغلال (EPSS)؟

يقيس النظام العام لنقاط الثغرات الأمنية (CVSS) مدى خطورة الثغرة الأمنية. يقدّر نظام حساب نقاط التنبؤ بالاستغلال (EPSS ) احتمالية أن يستغل أحد المهاجمين الثغرة الأمنية خلال فترة الثلاثين يومًا التالية. استخدم كليهما لتحديد الأولويات بشكل أفضل.

هل يمكنني تخصيص درجات النظام العام لنقاط الثغرات الأمنية (CVSS)؟

نعم.يمكنك تطبيق مقاييس بيئية لإجراء تعديلات بناءً على الأهمية والضوابط التعويضية الخاصة ببيئتك.

هل يتفاوت تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) بين الأدوات؟

يمكن ذلك. يعد تفسير ناقل الهجوم الخاص بالنظام العام لنقاط الثغرات الأمنية (CVSS) أمرًا ذاتيًا. يجب عليك دائمًا مراجعة سلسلة نواقل الهجوم بالكامل، وليس الاكتفاء بالدرجة الرقمية وحدها.

هل يُقبل النظام العام لنقاط الثغرات الأمنية (CVSS) في عمليات تدقيق الامتثال؟

نعم.يُعترف بتقييم النظام العام لنقاط الثغرات الأمنية (CVSS) من قِبل PCI DSS، وNIST، وISO 27001، والعديد من الأطر التنظيمية الأخرى. وغالبًا ما تستخدمه الفرق لتحديد اتفاقيات مستوى الخدمة (SLA) الخاصة بالتصحيحات وحدود المخاطر.

هل يمكنني استخدام النظام العام لنقاط الثغرات الأمنية (CVSS) في عمليات سير عمل DevSecOps؟

بالتأكيد. يمكنك استخدام النظام العام لنقاط الثغرات الأمنية (CVSS) في تدفقات الدمج المستمر/النشر المستمر (CI/CD) لحظر عمليات البناء أو تشغيل المعالجة المؤتمتة أو فرض اتفاقيات مستوى الخدمة (SLA).

ما أحدث إصدار من النظام العام لنقاط الثغرات الأمنية (CVSS)؟

أطلقت FIRST النظام العام لنقاط الثغرات الأمنية (CVSS) الإصدار 4.0 في عام 2023، الذي يتميز بدقة أعلى في القياس ودعم أفضل للأتمتة. لا تزال المؤسسات تستخدم الإصدار 3.1 من النظام العام لنقاط الثغرات الأمنية (CVSS) على نطاق واسع حتى الآن.

من أين يمكنني احتساب درجة النظام العام لنقاط الثغرات الأمنية (CVSS)؟

استخدم حاسبة النظام العام لنقاط الثغرات الأمنية (CVSS) الرسمية لإدخال قيم المقاييس الأساسية، والزمنية، والبيئية.

ماذا يعني تقييم النظام العام لنقاط الثغرات الأمنية (CVSS)؟

تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) هو العملية التي يتم من خلالها تطبيق مقاييس النظام العام لنقاط الثغرات الأمنية (CVSS) على ثغرة أمنية معروفة لحساب درجة خطورتها، التي يمكنك استخدامها لأغراض الفرز أو الامتثال.

ما هي شهادة النظام العام لنقاط الثغرات الأمنية (CVSS)؟

لا توجد شهادة رسمية خاصة بالنظام العام لنقاط الثغرات الأمنية (CVSS)، ولكن العديد من شهادات ودورات الأمن الإلكتروني (مثل مهندس أمن نظم معلومات معتمد (CISSP)) قد تتضمن تقييم النظام العام لنقاط الثغرات الأمنية (CVSS) كجزء من التدريب على تحليل الثغرات الأمنية.

ما المقصود باختبار النظام العام لنقاط الثغرات الأمنية (CVSS)؟

يشمل اختبار النظام العام لنقاط الثغرات الأمنية (CVSS) في الغالب اختبار طريقة تسجيل فرق العمل لدرجات الثغرات الأمنية أو التحقق من صحتها. قد يتضمن الاختبار أيضًا استخدام حاسبة النظام العام لنقاط الثغرات الأمنية (CVSS) لمحاكاة التأثير المحتمل.

ماذا يُقصد بثغرة النظام العام لنقاط الثغرات الأمنية (CVSS)؟

ثغرة النظام العام لنقاط الثغرات الأمنية (CVSS) هي ثغرة أمنية تم الكشف عنها علنًا، وجرى تحليلها وتقييمها باستخدام إطار عمل النظام العام لنقاط الثغرات الأمنية (CVSS)، وعادةً ما تحمل معرِّف الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE) خاص بها.

الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE) مقابل النظام العام لنقاط الثغرات الأمنية (CVSS): ما الفرق؟

إن الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE) هو معرّف يتتبع ثغرة أمنية معينة. بينما النظام العام لنقاط الثغرات الأمنية (CVSS) هو نظام التقييم الذي يُقيّم مدى خطورتها.

لا ريب أن النظام العام لنقاط الثغرات الأمنية (CVSS) هو أساس لا غنى عنه، لكنه لا يقدم الحل الكامل.

إنه يمنحك طريقة لقياس خطورة الثغرات الأمنية باتساق عبر الأنظمة المختلفة، وبطريقة يفهمها الجميع، بغض النظر عن خبرتهم الفنية.

ومع ذلك، تتطلب أسطح الهجوم الحالية، التي تمتد عبر السحابة، والهوية، والتكنولوجيا التشغيلية، والأصول المؤقتة، نموذج تقييم قابل للتكيف. نموذج يكشف التعرض للمخاطر، وليس مجرد التأثير النظري. وآخر يحدد الأولويات بناءً على مخاطر الأعمال، وليس مجرد رقم قياسي. 

هذا ما تقدمه Tenable One.

يحدد لك النظام العام لنقاط الثغرات الأمنية (CVSS) مدى الخطورة. بينما توجهك Tenable One إلى ما يجب معالجته كأولوية قصوى.