أعلنت دائرة المعايير الوطنيّة والمعهد الأمريكيّ للمعايير والتكنولوجيا (NIST) عن تعديل كبير في أولوياتها المتعلقة بإدارة قاعدة بيانات الثغرات الأمنية الوطنيّة (NVD). يأتي هذا التعديل استجابةً للزيادة المطردة في عدد الثغرات المكتشفة، مما وضع وكالات الأمن السيبرانيّ تحت ضغط متزايد.
ستركز NIST الآن على تحليل الثغرات التي تظهر في قائمة الوكالة الأمنية للبنية التحتية والوظائف السيبرانيّة (CISA) للثغرات المستغلة المعروفة، بالإضافة إلى البرامج المستخدمة في الحكومة الفيدراليّة والبرامج الحيوية المحددة بموجب الأمر التنفيذي 14028. الهدف هو تحقيق استدامة طويلة الأجل للبرنامج.
تحديات متزايدة في إدارة الثغرات الأمنية
شهدت السنوات الأخيرة ارتفاعاً ملحوظاً في اكتشاف الثغرات الأمنية. فقد قامت NIST بتحليل ما يقرب من 42,000 ثغرة العام الماضي، مع زيادة في عدد الإدخالات بنسبة 263% بين عامي 2020 و 2025. وتتوقع الوكالة عدم تباطؤ هذا الاتجاه في المستقبل القريب.
تأتي هذه التغييرات في ظل مواجهة NIST لتحديات سابقة، مثل فجوة تمويل في بداية عام 2024، والتي أدت إلى توقف مؤقت في تقديم بيانات تعريفية أساسية للعديد من الثغرات في قاعدة البيانات. ولا تزال الوكالة تعمل على معالجة تراكم الثغرات غير المعالجة الذي نتج عن ذلك.
البرامج المحمية والمستغلة أولاً
تؤكد NIST أن الثغرات التي لا تندرج ضمن المعايير الجديدة سيتم إدراجها في قاعدة بيانات NVD، ولكنها لن تخضع تلقائياً لإثراء إضافي بالمعلومات. هذا التوجه يسمح للوكالة بالتركيز على الثغرات ذات التأثير المحتمل الأوسع.
بالنسبة للبرامج الحيوية والحكومية، فإن هذا التركيز يضمن حصولها على اهتمام فوري. ومع ذلك، قد تكون هناك ثغرات أخرى تؤثر على أنظمة معينة، ولكنها لا تشكل نفس المستوى من المخاطر النظامية.
تأثير التغييرات على مجتمع أمن المعلومات
ينظر الباحثون وخبراء الأمن السيبرانيّ إلى هذه الخطوة على أنها حتمية. فقد واجهت NIST صعوبات في مواكبة حجم الثغرات المتزايد، ويمنحها هذا النهج الجديد القدرة على تحديد الأولويات بشكل فعال.
يشير الخبراء إلى أن هذا التغيير سيضع المزيد من الشركات والمنظمات الخاصة في موقع مسؤولية أكبر، حيث سيبحث المدافعون عن مصادر بديلة للمعلومات حول الثغرات. وقد يؤدي هذا إلى زيادة في الجهود المبذولة من قبل الشركات لتحديد وتقييم الثغرات.
أهمية التقييم والتركيز
أوضحت بعض الشركات المتخصصة في أبحاث الثغرات أن مشكلة تحديد الأولويات تظل قائمة. ففي العام الماضي، فقط 1% من الثغرات المكتشفة تم استغلالها بالفعل في الواقع. وهذا يشير إلى أن هناك حاجة ماسة لتركيز الجهود على الثغرات الأكثر خطورة.
بالإضافة إلى ذلك، تسعى NIST لتقليل الجهود المزدوجة. ولن تقوم الوكالة بإصدار تقييمات CVSS منفصلة للثغرات التي يتم تقديمها مع تصنيف لخطورتها. هذا يعتمد بشكل أكبر على التقييمات المقدمة من جهات التصنيف المسؤولة عن الثغرات (CNAs).
تؤكد NIST على أن هذا النهج القائم على المخاطر ضروري لإدارة الزيادة الحالية في تقديم طلبات الثغرات، مع العمل على مواءمة الجهود مع احتياجات مجتمع NVD. وتهدف هذه التغييرات إلى ضمان استمرار قاعدة البيانات كمصدر موثوق ومتاح للمعلومات حول الثغرات الأمنية السيبرانية.