نادراً ما تفشل فرق الأمن بسبب نقص البيانات، بل غالباً ما تفشل لأنها تعالج المشكلات الخاطئة أولاً. ولهذا السبب تحديداً تبرز أهمية معلومات الاستغلال المعروفة، وإدارة الثغرات الأمنية القائمة على المخاطر، وقانون المرونة السيبرانية، و... CISأصبحت الآن قائمة الثغرات الأمنية المعروفة والمستغلة جزءاً لا يتجزأ من سير العمل الحديث لأمن التطبيقات.
تُبلغ الماسحات الضوئية أسبوعيًا عن مئات الثغرات الأمنية، إلا أن المهاجمين لا يستغلون سوى جزء صغير منها. ونتيجةً لذلك، تُهدر الفرق التي تُعطي الأولوية للثغرات دون مراعاة سياق الاستغلال وقتها، بينما تتسلل التهديدات الحقيقية دون أن تُلاحظ. تُسدّ معلومات الاستغلال المعروفة هذه الفجوة من خلال الكشف عن الثغرات التي يستخدمها المهاجمون فعليًا، وليس فقط تلك التي تبدو خطيرة نظريًا.
ما هو معروف - استغلال المعلومات الاستخباراتية
تُحدد معلومات الاستغلال المعروفة نقاط الضعف التي يستغلها المهاجمون بنشاط في بيئات حقيقية. بعبارة أخرى، فهي تفصل بين المخاطر النظرية وسلوك الهجوم المؤكد.
بدلاً من السؤال عما إذا كانت الثغرة الأمنية استطاع إذا تم استغلال ذلك، يمكن للفرق أخيرًا أن تسأل:
هل يتم استغلال هذا الأمر بالفعل، وهل يؤثر ذلك على منتجي؟
هذا التمييز مهم من الناحية التشغيلية، وبشكل متزايد، من الناحية القانونية.
لماذا تفشل عملية تحديد الأولويات التقليدية
لا تزال معظم الفرق تعتمد على إشارات ثابتة لتحديد أولويات المخاطر.
عادةً ما يقومون بتصنيف الثغرات الأمنية حسب:
- شدة CVSS
- ثقة الماسح الضوئي
- شعبية الحزمة
على الرغم من أن هذه الإشارات تساعد في تقليل التشويش، إلا أنها تغفل عاملاً حاسماً: سلوك المهاجم. ونتيجة لذلك، غالباً ما تسارع الفرق إلى إصلاح المشكلات الخطيرة التي لا يتم استغلالها أبداً، بينما تتجاهل الثغرات الأقل خطورة التي يستهدفها المهاجمون بنشاط.
توضح هذه الفجوة سبب عدم قدرة نظام تحديد الأولويات الثابت على التوسع.
لماذا يُغيّر قانون المرونة السيبرانية القواعد؟
تحت المبادرة من قانون المرونة السيبرانيةإن شحن البرامج التي تحتوي على ثغرات أمنية معروفة قابلة للاستغلال يصبح مسألة امتثال، وليس مجرد مصدر قلق أمني.
ينص النظام على ما يلي:
- يجب ألا تدخل المنتجات التي تحتوي على عناصر رقمية إلى سوق الاتحاد الأوروبي إذا كانت بها ثغرات أمنية معروفة قابلة للاستغلال
- يقوم المصنعون بتطبيق إجراءات التعامل مع الثغرات الأمنية وبوابات التحقق.
- إن الاستغلال في البيئات الحقيقية له وزن أكبر من الشدة النظرية
ونتيجة لذلك، يتحول تحديد الأولويات من أفضل الممارسات إلى الالتزام القانوني.
وهنا تحديداً تصبح معلومات الاستغلال ضرورية.
قانون المرونة السيبرانية
استخدم قانون المرونة السيبرانية هو تنظيم صادر عن الاتحاد الأوروبي يحدد متطلبات الأمن السيبراني الإلزامية للمنتجات التي تحتوي على عناصر رقمية والتي تباع في الاتحاد الأوروبي.
ببساطة، يتطلب هذا من المصنّعين تصميم وتطوير وصيانة برامج لا تحتوي على ثغرات أمنية معروفة قابلة للاستغلال عند إصدارها. علاوة على ذلك، يُلزم الشركات بمراقبة الثغرات الأمنية بعد الإصدار والإبلاغ عن المشكلات التي يتم استغلالها فعلياً ضمن أطر زمنية محددة.
دخلت اللائحة حيز التنفيذ في ديسمبر 2024. ومع ذلك، يبدأ التنفيذ الكامل في ديسمبر 2027. ابتداءً من عام 2026، يجب على الشركات الإبلاغ عن الثغرات الأمنية التي يتم استغلالها بنشاط إلى سلطات الاتحاد الأوروبي في غضون 24 ساعة من اكتشافها.
بمعنى آخر، يحول قانون المرونة السيبرانية إدارة الثغرات الأمنية من أفضل الممارسات إلى شرط أساسي للوصول إلى السوق.
لماذا تُعدّ المركبات الكهربائية ذات المفتاح محورًا أساسيًا للامتثال لقانون إعادة الاستثمار المجتمعي؟
استخدم CISكتالوج الثغرات الأمنية المستغلة المعروفة يُدرج هذا الدليل الثغرات الأمنية التي يستغلها المهاجمون بالفعل في الواقع. ويزيل هذا الدليل أي لبس.
بدلاً من مناقشة المخاطر، يمكن للفرق الاعتماد على بيانات الاستغلال الموثقة. ونتيجة لذلك، تصبح ثغرات KEVs أقوى محفز لاتفاقيات مستوى الخدمة الخاصة بالمعالجة ومنع الإصدار.
يتماشى هذا النهج بشكل طبيعي مع إدارة الثغرات الأمنية القائمة على المخاطرلأنه يركز الجهود حيث يحدث الضرر الحقيقي.
تخدم أنظمة CVSS وEPSS وKEVs أغراضًا مختلفة.
يتطلب تحديد الأولويات الفعال فهم كيفية اختلاف الإشارات.
- CVSS يُظهر التأثير المحتمل
- إبس تقديرات احتمالية الاستغلال
- استخدم CISيؤكد فهرس الثغرات الأمنية المستغلة المعروفة وجود استغلال نشط.
عند استخدام كل إشارة على حدة، فإنها تضلل. أما عند استخدامها مجتمعة، فإنها توفر سياقاً. ويشكل هذا المزيج أساس إدارة الثغرات الأمنية الحديثة القائمة على المخاطر.
كيف تعمل معلومات الاستغلال المعروفة عملياً
يتبع نموذج تحديد الأولويات العملي تسلسلاً واضحاً:
- اكتشاف الثغرات الأمنية في التعليمات البرمجية والتبعيات
- نتائج المباراة ضد CISكتالوج الثغرات الأمنية المستغلة المعروفة
- تقييم احتمالية الاستغلال باستخدام EPSS
- تحقق من إمكانية الوصول في التطبيق أو pipeline
- تطبيق قواعد المعالجة بناءً على التعرض ودور المنتج
ونتيجة لذلك، تتوقف الفرق عن التعامل مع قوائم الثغرات الأمنية على أنها تراكمات وتبدأ في التعامل معها على أنهاcis أيونات (+H₃O).
كيف قمنا ببناء معلومات استخباراتية حول الثغرات الأمنية المعروفة في شركة Xygeni
قمنا بتطوير هذه الميزة بعد أن رأينا مرارًا وتكرارًا فرقًا تُصلح مشكلات ذات تصنيف CVSS مرتفع بينما تصل ثغرات أمنية معروفة ومستغلة إلى بيئة الإنتاج. وقد أثرت هذه التجربة على كيفية تصميمنا للنظام.
مع v5.36, يدمج برنامج Xygeni معلومات الاستغلال الموثقة مباشرة في محرك تحديد الأولويات.
ما الذي يحدث تحت غطاء المحرك؟
- يقوم برنامج Xygeni باستمرار باستيراد كتالوجات الاستغلال الموثوقة مثل KEV ومصادر الاستغلال العامة الأخرى.
- تتلقى كل ثغرة أمنية بيانات وصفية حول وجود الاستغلال
- يجمع مسار تحديد الأولويات بين ما يلي:
- حالة الاستغلال المعروفة
- احتمال EPSS
- سياق إمكانية الوصول
- التعرض للبرمجيات والتبعيات
تقوم المنصة بحساب درجة مخاطر مركبة في العالم الحقيقي
بدلاً من استبدال الإشارات الموجودة، يقوم هذا النموذج بتحسينها.
الكشف ← مطابقة الاستغلال ← إمكانية الوصول ← الإصلاح
هذا التدفق هو ما يحرك كل شيءcisايون:
يرى المطورون سياق الاستغلال مباشرة في pull requests. Pipelineلا يتم دمج كتلة s إلا عندما يتضمن الكود القابل للوصول ثغرات أمنية معروفة تم استغلالها. يقترح نظام المعالجة الآلي ترقيات آمنة على الفور.
لا اجتماعات. لا تخمينات. لا رقعة ذعر.
لماذا يُعد هذا الأمر مهمًا بما يتجاوز مجرد الامتثال؟
على الرغم من أن قانون المرونة السيبرانية قد أدى إلى هذا التحول، إلا أن الفوائد تمتد إلى أبعد من ذلك.
الفرق التي تعطي الأولوية لاستخدام معلومات الاستغلال:
- تقليل إجهاد التنبيه
- تقصير وقت المعالجة
- تجنب دورات الترقيع الطارئة
- قم بشحن برامج أكثر أمانًا بثقة
يصبح الامتثال نتيجة ثانوية للقيام بالأمان بشكل صحيح.
أفكار ختامية: هيئة الإيرادات الكندية تجعل الإدارة القائمة على المخاطر إلزامية
يُضفي قانون المرونة السيبرانية الطابع الرسمي على ما تعلمته الفرق ذات الخبرة بالفعل. فليست كل الثغرات الأمنية متساوية في الأهمية.
استخدم CISيُظهر دليل الثغرات الأمنية المعروفة والمستغلة ما يستخدمه المهاجمون اليوم. ويُبين السياق وإمكانية الوصول ما إذا كانت هذه الثغرات تؤثر عليك. معًا، يُحددان مفهوم الأمن السيبراني الحديث. إدارة الثغرات الأمنية القائمة على المخاطر.
يطبق Xygeni هذا النموذج باستمرار وبشكل تلقائي، وفي الأماكن التي يعمل فيها المطورون بالفعل.
عن المؤلف
كتب بواسطة فاطمة Saidمديرة تسويق المحتوى المتخصصة في أمن التطبيقات في شركة Xygeni Security. تقوم بإنشاء محتوى موجه للمطورين ومبني على البحث في مجال أمن التطبيقات. ASPMو DevSecOps، وترجمة تحديات الأمن في العالم الحقيقي إلى إرشادات واضحة وقابلة للتنفيذ.
