ما هي الثغرات الأمنية المستغلة المعروفة (KEVs)؟
الثغرات الأمنية المستغلة المعروفة (KEVs) . تم تأكيد استغلال الثغرات الأمنية المدرجة في قائمة CVE في البرية. وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يحافظ على الرسمي كتالوج KEV ويفرض جداول زمنية للمعالجة من خلال التوجيه التشغيلي الملزم 22-01. تستخدم العديد من المنظمات الخاصة الآن هذه القائمة لتحديد أولويات التصحيح.
بالرغم ان CVSS قياس النتائج محتمل التأثير، تمثل KEVs نشط الاستغلال. بمعنى آخر، يحولون ما قد يكون قابلاً للاستغلال إلى ما يُستغل، مما يتطلب اتفاقيات مستوى خدمة أسرع وأتمتة guardrails.
KEVs مقابل CVEs مقابل EPSS
غالبًا ما تخلط فرق الأمن بين هذه المصطلحات المترابطة. فهم الفرق أمر بالغ الأهمية لتقييم المخاطر بدقة.
| إسم المختصر للمنظمة | مصدر | الهدف |
|---|---|---|
| CVE | NVD | معرف فريد للثغرة الأمنية المعلنة. |
| CVSS | NVD / FIRST | يقيس الشدة النظرية (التأثير + قابلية الاستغلال). |
| إبس | FIRST.org | يتنبأ باحتمالية الاستغلال خلال 30 يومًا. |
| KEV | CISA | يؤكد الاستغلال في العالم الحقيقي ويحدد مواعيد نهائية للتصحيح. |
تشكل هذه الأنظمة مجتمعة تسلسلًا هرميًا للمخاطر: يوضح نظام CVSS مدى سوء الوضع المحتمل، ويوضح نظام EPSS مدى احتمالية حدوثه، وتوضح نقاط الضعف المستغلة المعروفة ما يحدث بالفعل.
قراءة متعمقة: نتيجة CVSS: كيف تعمل نتيجة CVSS و EPSS مقابل CVSS: ما هو الفرق؟
لماذا تعتبر المركبات الكهربائية الكهربائية مهمة للمطورين و CISOs
أولاً، تسلط KEVs الضوء على سلوك المهاجم المباشرثانيًا، غالبًا ما تنطوي على مكونات الطرف الثالث، الأطر، الحاويات، أو CI/CD التبعيات التي تفترض الفرق أنها آمنة. وبالتالي, يمكن أن يؤدي الإصلاح المتأخر إلى فتح مسارات الحركة الجانبية داخل البنية التحتية للبناء والتسليم.
أمثلة حديثة:
- CVE-2024-1086 (Linux nf_tables): تمت إضافته إلى كتالوج KEV؛ وتم استغلاله من قبل مجموعات برامج الفدية في منتصف عام 2024.
- CVE-2023-4966 (CitrixBleed): تم تأكيد الاستغلال خلال أيام من الكشف عنه؛ دورات تصحيح الطوارئ القسرية في جميع أنحاء العالم.
الوجبات الجاهزة: المركبات الكهربائية لا تشكل تهديدات محتملة، بل هي نشط لذلك، تعامل مع كل الثغرات الأمنية المستغلة المعروفة على أنها "إصلاح الآن"ما لم يثبت تحليل إمكانية الوصول خلاف ذلك.
كيفية تتبع الثغرات الأمنية المستغلة المعروفة وتحديد أولوياتها
للبدء، تحقق من الموقع الرسمي CISكتالوج الثغرات الأمنية المستغلة المعروفة وحدد أي تطابقات داخل ماسح الأمان. ثم استخدم هذه المعلومات لتحديد الإصلاحات التي يجب إجراؤها أولاً. بالإضافة إلى ذلك، اجمع الثغرات المعروفة والمستغلة مع نتائج EPSS لتقليل الضوضاء والتركيز على نقاط الضعف التي تؤثر حقًا على الكود الذي تقوم بتشغيله.
سير العمل خطوة بخطوة:
- مزامنة البيانات: اسحب آخر التحديثات من CISقائمة كل يوم ودمجها مع مصادر نقاط الضعف الأخرى لديك.
- نتائج العلامة: قم بتسمية كل نتيجة بأنها "مستغلة معروفة" عندما يتطابق المعرف مع CISقائمة.
- التحقق من إمكانية الوصول: انظر ما إذا كان الكود المعرض للخطر يعمل بالفعل داخل التطبيق أو البناء الخاص بك pipeline.
- تقييم قابلية الاستغلال: استعمل إبس للعثور على القضايا الأخرى التي قد يتم استهدافها قريبًا.
- مواعيد التقديم:
- الثغرات الأمنية التي تواجه الإنترنت: يتم إصلاحها خلال 1-3 أيام.
- الداخلية: يتم إصلاحها خلال أسبوع.
- الكود غير مستخدم: راقبه وتحقق منه بشكل متكرر.
- أتمتة الردود: يقوم النظام بحظر عمليات الدمج غير الآمنة، ويفتح عمليات الدمج الآمنة pull requestsويسجل الاستثناءات للتأكد من عدم تفويت الفرق لأي شيء.
من الوعي إلى العمل: أتمتة الإصلاحات باستخدام Xygeni
عمليًا، التعامل مع كل هذا يدويًا لا يُجدي نفعًا. لذلك، زيجيني يربط الثغرات الأمنية المستغلة المعروفة مباشرة بجهازك CI/CD سير العمل، وتحويل التنبيهات إلى إجراءات حقيقية موجهة.
- الارتباط الذكي: تم اكتشاف تطابقات CVE ضد CISقائمة وتسليط الضوء على المشكلات التي تحتاج إلى إصلاح الآن في الداخل pull requests.
- إمكانية الوصول + إمكانية الاستغلال: يؤكد ما إذا كان مسار الكود المعرض للخطر يعمل ويرتبط إبس بيانات ما قبلcisهـ- تحديد الأولويات.
- Guardrails: يوقف عمليات الدمج أو النشر الخطرة عندما يؤثر الخلل المستغل على الملفات أو الخدمات الحساسة.
- الإصلاح التلقائي: يفتح طلبات السحب الآمنة، ويتحقق من التغييرات المحتملة التي قد تؤدي إلى الكسر، ويجري الاختبارات قبل الدمج.
- سجلات التدقيق: يحتفظ بسجلات واضحة لما تم إصلاحه ومتى تم إصلاحه، مما يدعم أهداف الأمن الداخلي.
باختصار، تُظهر معلومات التهديدات ما يتم مهاجمته، وتضمن Xygeni إصلاحه بسرعة وأمان وبشكل تلقائي.
مثال على سياسة الحاجز الواقي (YAML)
guardrail:
id: "kev-protection"
description: "Block merges if known exploited vulnerability detected"
conditions:
- match: vulnerability.kev == true
- match: reachability == "reachable"
actions:
- block: merge
- notify: ["slack:#security-alerts", "jira:SEC-OPS"]
- create_pr: true
sla:
critical: 72h
high: 7dتطبق هذه القاعدة لا دمج للثغرات الأمنية المعروفة النشطة المستغلة، وإخطار القنوات ذات الصلة، وإنشاء طلب إصلاح تلقائيًا، كل ذلك ضمن نطاقك CI/CD guardrails.
حالة مصغرة: منع نشر KEV
- الأسبوع شنومكس: مكتبة جديدة مفتوحة المصدر تمر SAST ولكن يتضمن CVE-2023-4966.
- الأسبوع شنومكس: يكشف ارتباط KEV الخاص بـ Xygeni عنه في أحدث CISتحديث.
- الأسبوع شنومكس: Guardrails أوقف عملية الدمج؛ يقترح الإصلاح التلقائي إصدارًا مُرقَّعًا.
النتيجة: تجنب الفريق شحن ثغرة معروفة تم استغلالها إلى الإنتاج والترميم pipeline التدفق داخل نفس العدو.
عن المؤلف
كتب بواسطة فاطمة Said، مدير تسويق المحتوى المتخصص في أمن التطبيقات في زيجيني للأمن.
تقوم فاطمة بإنشاء محتوى بحثي صديق للمطورين حول AppSec، ASPMوDevSecOps. تُترجم المفاهيم التقنية المعقدة إلى رؤى واضحة وقابلة للتنفيذ، تربط ابتكارات الأمن السيبراني بتأثير الأعمال.
