• 1,337,797 ثغرة فريدة عبر 68,500 أصل رقمي.

• 32,585 ثغرة مسجلة في CVE، منها 10,014 ذات درجة خطورة CVSS 8+.

• الأصول الخارجية تحوي 11,605 ثغرة، بينما الداخلية تحوي 31,966.

مع هذا العدد الهائل، لا عجب أن بعض الثغرات تبقى دون تصحيح، مما يؤدي إلى اختراقات.

لماذا نعاني من هذا الوضع؟ وهل هناك حل؟

سنستكشف:

1. واقع الإبلاغ عن الثغرات وأدوات مثل CVE وCVSS.

2. كيفية تحديد أولويات الثغرات بناءً على التهديدات واحتمالية الاستغلال.

3. الحلول الممكنة لتقليل تأثير الثغرات مع منح فرق الإدارة مرونة في الاستجابة.

نظام CVE: إنجازات وتحديات

تعتمد الدول والمنظمات الغربية على CVE وCVSS لتتبع وتقييم الثغرات، تحت إشراف برامج ممولة من الحكومة الأمريكية مثل MITRE وNIST. بحلول أبريل 2025:

• وصل عدد الثغرات المسجلة في CVE إلى 290,000 (بما في ذلك المرفوضة أو المؤجلة).

• تراكم 24,000 ثغرة غير مُدققة في NVD بسبب تعطل النظام مؤقتًا.

• أعلنت MITRE أن وزارة الأمن الداخلي الأمريكية لن تجدد عقدها معها، مما أثار مخاوف حول مستقبل CVE.

بدائل CVE

• تمتلك الصين قاعدة بياناتها الخاصة CNNVD منذ 2009.

• 6% فقط من ثغرات CVE تم استغلالها فعليًا.

• 50% من المنظمات تصحح أقل من 15.5% من الثغرات شهريًا.

كيف نحدد الثغرات الأكثر خطورة؟

يقدم نظام EPSS (نظام توقع الاستغلال) من FIRST طريقة للتنبؤ باحتمالية استغلال الثغرة، مما يساعد في:

• تحديد الأولويات بين آلاف الثغرات.

• تحسين الكفاءة بدلاً من تصحيح كل شيء.

مثال عملي:

في تحليل لـ 397 ثغرة لدى عميل في قطاع الإدارة العامة:

• معظم الثغرات كانت منخفضة الخطورة حتى الثغرة رقم 276.

• عند تطبيق EPSS، وصلت احتمالية الاستغلال إلى 99% بعد 264 ثغرة فقط.

احتمالات نجاح المهاجمين

1. المهاجمون لا يركزون على ثغرات محددة، بل على اختراق أي نظام متاح.

2. الاختراق لا يعتمد فقط على الثغرات، بل أيضًا على مهارات المهاجم.

3. المهارة والوقت يزيدان فرص النجاح.

معادلة الاختراق الإحصائية:

• إذا كانت فرصة نجاح المهاجم 5% لكل نظام، فهو يحتاج إلى 180 هدفًا لضمان الاختراق بنسبة 99.99%.

• إذا ارتفعت المهارة إلى 30% (كخبراء الاختبارات الاختراقية)، يكفي 42 هدفًا فقط.

النتيجة: في شبكة تضم 100 جهاز، حتى المهاجم متوسط المهارة سينجح حتمًا.

إعادة تصور إدارة الثغرات

1. التخفيف من التهديدات (Threat Mitigation)

• التركيز على الأنظمة المعرّضة للإنترنت.

• استخدام EPSS مع أدوات استخبارات التهديدات.

2. تقليل المخاطر (Risk Reduction)

• تقليل السطح الهجومي: إزالة الأنظمة غير الضرورية.

• تقييد التأثير: تطبيق Zero Trust والتقسيم الشبكي.

• تحسين الأساسيات: خفض عدد الثغرات بشكل منهجي بدلاً من رد الفعل.

3. نهج أكثر كفاءة

• الانتقال من “إدارة الثغرات” إلى “بناء أنظمة قوية”.

• اعتماد عمليات تصحيح مخططة مسبقًا بدلاً من ردود الأفعال العشوائية.

استراتيجية نحو 2030

• البدء من المصدر: تحسين تصميم الأنظمة.

• العامل البشري: تدريب الفرق وكسب دعم الإدارة.

• القرارات المستنيرة بالتهديدات: التعلم من الحوادث.

• نمذجة التهديدات: محاكاة الهجمات لاكتشاف الثغرات.

• الأمان بالتصميم: تطبيق SASE وZero Trust.

التجزئة الدقيقة: عنصر أساسي في أمان Zero Trust

مع تزايد التهديدات الإلكترونية وتعقيدها، لم تعد استراتيجيات الأمن التقليدية كافية لحماية الشبكات. إذ يركز المهاجمون اليوم على التحرك الجانبي (Lateral Movement) داخل الأنظمة، وهو عامل رئيسي في أكثر من 70% من الاختراقات الناجحة.

تحديات التجزئة الدقيقة التقليدية

ظهرت التجزئة الدقيقة كإحدى الركائز الأساسية لتحقيق Zero Trust، حيث يتم تقييد الوصول إلى الأصول الحساسة بناءً على الهوية بدلاً من موقع الشبكة. لكن الأساليب التقليدية—مثل إعادة تكوين VLAN، أو استخدام وكلاء (Agents)، أو قواعد جدار الحماية المعقدة—غالبًا ما تكون بطيئة، مكلفة، وصعبة التوسع.

تحديات أمان الشبكة في Andelyn Biosciences

شركة Andelyn Biosciences، المتخصصة في تطوير وتصنيع العلاجات الجينية، كانت بحاجة إلى تأمين بيئة البحث والتصنيع دون التأثير على العمليات. ومع وجود آلاف الأجهزة من فئات IT وIoT وOT عبر شبكة مترابطة، كان النهج التقليدي في التجزئة مستحيلاً بسبب:

✅ عدم وضوح الرؤية لجميع الأجهزة، بما في ذلك الأجهزة غير المُدارة.
✅ الحاجة إلى حماية الأبحاث الحساسة دون تعطيل العمليات.
✅ متطلبات الامتثال الصارمة مثل NIST 800-207 و IEC 62443.

التحول إلى التجزئة القائمة على الهوية مع Elisity

بعد تجربة غير ناجحة لحلول NAC التقليدية، تحول فريق الأمان في Andelyn إلى Elisity، التي تقدم تجزئة دقيقة قائمة على الهوية دون الحاجة إلى تغييرات في الأجهزة أو إعادة تصميم الشبكة.

📌 كيف يعمل حل Elisity؟
✔ يعتمد على الهوية بدلاً من هيكل الشبكة، مما يُمكن من فرض سياسات أمان ديناميكية.
✔ يستخدم Elisity IdentityGraph™ لإنشاء خريطة في الوقت الفعلي للمستخدمين والأجهزة.
✔ يدمج بيانات من Active Directory، حلول EDR مثل CrowdStrike، و CMDB لتعزيز الأمان.

النتائج: أمان أقوى دون تعقيد إضافي

بعد تطبيق التجزئة الدقيقة القائمة على الهوية، حققت Andelyn نتائج مذهلة:

✅ منع التحرك الجانبي غير المصرح به، مما قلل من تأثير أي اختراق محتمل.
✅ حماية بيانات الأبحاث الصيدلانية والملكية الفكرية من التهديدات الداخلية والخارجية.
✅ تقليل التعقيد التشغيلي، حيث يتم فرض السياسات ديناميكيًا دون تحديثات يدوية مستمرة.
✅ تحسين الامتثال للوائح مثل NIST 800-207 و IEC 62443.

المستقبل: توسيع نطاق التجزئة الدقيقة عبر المؤسسة

بعد نجاح النشر الأولي، تعمل Andelyn الآن على توسيع استراتيجيات التجزئة الدقيقة إلى مواقع أخرى دون الحاجة إلى تغييرات في الشبكة، مما يجعل Elisity جزءًا أساسيًا من استراتيجية الأمان المستقبلية.

💡 نصيحة الخبراء:
يقول برايان هولمز، نائب رئيس تكنولوجيا المعلومات في Andelyn Biosciences:
🔹 “ابدأ بالرؤية—لا يمكنك حماية ما لا تراه. ثم ركّز على محاكاة السياسات قبل التنفيذ. هذه الخطوة كانت حاسمة لنجاحنا.”