أعلن المعهد الوطني للمعايير والتكنولوجيا الأميركي (NIST) عن تغييرات جوهرية في طريقة تعامله مع الثغرات الأمنية المسجلة ضمن قاعدة بيانات الثغرات الوطنية (NVD). القرار يقضي بأن المعهد لن يقوم بإثراء جميع الثغرات تلقائياً كما كان سابقاً، بل سيقتصر على تلك التي تستوفي معايير محددة، وذلك نتيجة طفرة هائلة في عدد البلاغات، حيث ارتفعت بنسبة 263% بين عامي 2020 و2025.
المعهد أوضح أن هذا التوجه الجديد يهدف إلى تركيز الجهود على الثغرات ذات التأثير الأوسع والأكثر خطورة، في ظل تسارع غير مسبوق في وتيرة اكتشاف الثغرات.
معايير الأولوية الجديدة
ابتداءً من 15 أبريل 2026، سيقتصر إثراء الثغرات على الفئات التالية:
- الثغرات المدرجة في قائمة الثغرات المستغلة فعلياً لدى وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA KEV).
- الثغرات في البرمجيات المستخدمة داخل المؤسسات الحكومية الفيدرالية.
- الثغرات في البرمجيات المصنفة كـ “حرجة” وفق الأمر التنفيذي 14028، وتشمل البرمجيات ذات الامتيازات المرتفعة، أو التي تتحكم في الوصول إلى البيانات والبنية التحتية التشغيلية، أو تعمل خارج حدود الثقة التقليدية.
أما الثغرات التي لا تستوفي هذه المعايير فسيتم إدراجها في قاعدة البيانات مع وسمها بأنها “غير مجدولة” (Not Scheduled)، ما يعني أنها لن تُثري تلقائياً.
تداعيات على المجتمع الأمني
المعهد أشار إلى أنه قام بإثراء نحو 42 ألف ثغرة في عام 2025، وهو رقم قياسي يمثل زيادة بنسبة 45% عن أي عام سابق. ومع ذلك، لا يزال هناك حوالي 10 آلاف ثغرة من عام 2025 بلا تقييم CVSS، ما يعكس حجم التحدي.
القرار أثار ردود فعل متباينة؛ حيث اعتبرت Caitlin Condon من شركة VulnCheck أن الخطوة ليست مفاجئة، إذ سبق أن ألمح المعهد إلى تبني نموذج قائم على تقييم المخاطر. لكنها حذرت من أن عدداً كبيراً من الثغرات سيظل بلا إثراء واضح، ما يضع المؤسسات التي تعتمد على NIST كمصدر وحيد في موقف صعب.
من جانبه، أكد David Lindner، مدير الأمن في Contrast Security، أن القرار يمثل نهاية مرحلة كان فيها المدافعون يعتمدون على قاعدة بيانات حكومية شاملة، مشدداً على ضرورة أن تتحول المؤسسات إلى نهج استباقي يعتمد على الذكاء التهديدي وقوائم الثغرات المستغلة فعلياً.
انعكاسات على مستقبل إدارة الثغرات
القرار يعكس إدراكاً متزايداً بأن الاعتماد على إثراء يدوي شامل لم يعد ممكناً في ظل تضخم حجم الثغرات وتسارع وتيرة اكتشافها، خاصة مع دخول تقنيات الذكاء الاصطناعي في مجال اكتشاف الثغرات.
الخبراء يرون أن المرحلة المقبلة ستتطلب اعتماد مقاربات آلية وسريعة على مستوى عالمي، مع التركيز على الثغرات ذات المخاطر النظامية، بدلاً من محاولة تغطية كل ثغرة مهما كانت بسيطة. هذا التحول، رغم ما قد يسببه من إرباك في بعض آليات التدقيق التقليدية، يُتوقع أن يسهم في نضج الصناعة عبر دفع المؤسسات إلى التركيز على التعرض الفعلي بدلاً من الانشغال بالكم الهائل من البلاغات.
