شبكة الطيف الاخبارية - 4/17/2026 10:48:17 PM - GMT (+3 )
يقوم المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) بعملية تغيير الطريقة التي يتعامل بها مع نقاط الضعف والتعرضات الشائعة (CVEs) المدرجة في قاعدة بيانات الثغرات الوطنية (NVD) في مواجهة بيئة التهديدات سريعة التغير.
في السابق، كان برنامج NVD يهدف إلى تحليل جميع التهديدات الخطيرة التي تم تلقيها لإضافة تفاصيل – مثل درجات الخطورة وقوائم المنتجات المتأثرة – لمساعدة فرق الإنترنت على تحديد الأولويات وتخفيف نقاط الضعف ذات الصلة. ويطلق على هذه العملية اسم “التخصيب”.
ومع ذلك، من الآن فصاعدا، فإنه لن يؤدي إلا إلى إثراء مكافحة التطرف العنيف التي تستوفي مجموعة من المعايير المحددة مسبقا – تلك العيوب التي لا تعني أن هذا الشريط سيظل مدرجا ولكن سيتم وضع علامة عليها على أنها قضايا ذات أولوية أقل.
“هذا التغيير مدفوع بالزيادة في طلبات مكافحة التطرف العنيف، التي زادت بنسبة 263٪ بين عامي 2020 و 2025. ولا نتوقع أن يتوقف هذا الاتجاه في أي وقت قريب. وقالت NIST في بيان: “إن الطلبات المقدمة خلال الأشهر الثلاثة الأولى من عام 2026 أعلى بنسبة الثلث تقريبًا عن نفس الفترة من العام الماضي”.
“نحن نعمل بشكل أسرع من أي وقت مضى. لقد قمنا بإثراء ما يقرب من 42000 من برامج مكافحة التطرف العنيف في عام 2025 – أي أكثر بنسبة 45٪ من أي عام سابق. لكن هذه الإنتاجية المتزايدة ليست كافية لمواكبة الطلبات المتزايدة. لذلك، نحن نضع نهجًا جديدًا.”
وتأمل الهيئة أن تمكنها هذه التغييرات من تحقيق الاستقرار في برنامجها وكسب بعض الوقت لمساعدتها على تطوير أنظمة آلية جديدة وتحسينات سير العمل.
دخلت المعايير الجديدة حيز التنفيذ يوم الأربعاء 15 أبريل، مع إعطاء الأولوية لمواجهات التطرف العنيف التالية:
“سيسمح لنا هذا بالتركيز على مكافحة التطرف العنيف التي تتمتع بأكبر احتمالية لإحداث تأثير واسع النطاق. في حين أن مكافحة التطرف العنيف التي لا تستوفي هذه المعايير قد يكون لها تأثير كبير على الأنظمة المتضررة، إلا أنها لا تمثل عمومًا نفس مستوى المخاطر النظامية مثل تلك الموجودة في الفئات ذات الأولوية،” كما قال المعهد الوطني للمعايير والتكنولوجيا.
وأقرت المنظمة بأن المعايير الجديدة قد لا تكتشف كل العيوب التي يحتمل أن تكون ذات تأثير كبير، لذلك سيتمكن المستخدمون من طلب مراجعات لمكافحة التطرف العنيف ذات الأولوية الأقل من أجل الإثراء.
وفي الوقت نفسه، لن توفر NIST بشكل روتيني درجة خطورة منفصلة لـ CVEs التي تم تعيينها بالفعل من قبل هيئة ترقيم CVE – شركات مثل Microsoft وغيرها – التي قدمتها. وقال إن هذا كان محاولة للحد من ازدواجية الجهود وتركيز مواردها بشكل أفضل، على الرغم من أن المستخدمين قادرون أيضًا على طلب مراجعات لمكافحة التطرف العنيف المحددة إذا أرادوا ذلك.
تعمل NIST أيضًا على تغيير كيفية إعادة تحليل CVEs المخصب الذي تم تعديله بعد التخصيب. وكانت قد أعادت في السابق تحليل جميع العيوب المعدلة، لكنها لن تفعل ذلك الآن إلا إذا علمت بوجود تعديل يؤثر ماديًا على بيانات التخصيب الخاصة بها. مرة أخرى، سيتم وضع نظام المراجعة الذي يطلبه المستخدم.
فيما يتعلق بالتراكم الكبير لـ CVEs غير المعززة التي بدأت في التطور قبل عامين، ذكرت NIST أنها لم تكن قادرة على مسح هذا الأمر، وبالتالي سيتم نقل جميع CVEs المتراكمة التي لها تاريخ نشر NVD قبل 1 مارس 2026 إلى فئة “غير مجدولة”. سيتم النظر في عمليات التطرف العنيف التي تندرج في هذه المجموعة من أجل الإثراء بشرط أن تستوفي معايير الأولويات الجديدة.
أخيرًا، تقوم NIST بتحديث تسميات وأوصاف حالة CVE، وإجراء تغييرات على لوحة معلومات NVD للإبلاغ عنها بدقة.
وقالت المنظمة إنها أدركت أنها تجري تغييرات كبيرة من شأنها أن تؤثر على المستخدمين العاديين، ومع ذلك، كررت التأكيد على أن اعتماد نهج قائم على المخاطر أمر ضروري لإدارة الزيادة في الطلبات المقدمة وكسب الوقت لبناء أنظمة جديدة تضمن استدامة عروضها في المستقبل.
وقال دانيس كالديرون، المدير والرئيس التنفيذي للتكنولوجيا في Suzu Labs، إن NIST ربما اتخذت القرار الصحيح.
قال كالديرون: “كانت هناك حاجة بالتأكيد إلى إصلاح شامل وربما لا مفر منه نظرًا لحجم عمليات الإرسال الجديدة لمكافحة التطرف العنيف، ونعتقد أن الاكتشاف بمساعدة الذكاء الاصطناعي ربما يدفع هذا الرقم بالفعل إلى الأعلى. بعد كل شيء، حصلت Microsoft للتو على ثاني أكبر تصحيح يوم الثلاثاء على الإطلاق، وحتى شركة ZDI تقول إن عمليات الإرسال الواردة تضاعفت ثلاث مرات بفضل أدوات الذكاء الاصطناعي”.
“نحن متحمسون لرؤية NIST تجعل Kev على رأس أولوياتها. هذا هو القرار الصحيح وهو شيء كنا نفعله مع عملائنا منذ بعض الوقت، لذلك نحن سعداء جدًا برؤية هذا يصبح النموذج الرسمي.”
ومع ذلك، انتقد كالديرون بعض الثغرات الملحوظة في منهجية NIST الجديدة، وتحديدًا إنهاء تسجيل نقاط CVE عندما تكون السلطة المقدمة قد سجلتها بالفعل.
وقال: “يبدو هذا فعالاً حتى تتذكر أن الجهة المقدمة للخدمة هي في الغالب البائع، ولا يقوم البائعون دائمًا بتصحيح الأخطاء الخاصة بهم”. “لقد مررنا بهذا للتو مع F5. تم تسجيل ثغرة أمنية حديثة في BIG-IP بدرجة 8.7 عالية كمشكلة رفض الخدمة لمدة خمسة أشهر قبل أن يتم إعادة تصنيفها على أنها 9.8 RCE. بالنسبة للمؤسسات التي تستخدم CVSS لدفع أولوية التصحيح، فإن هذا التصنيف الخاطئ يعني أن الخطر الحقيقي كان في قائمة الانتظار الخاطئة لمدة خمسة أشهر بينما كان المهاجمون يستغلونها بالفعل.”
“الشيء الآخر المفقود هنا هو أن NIST عالج مشكلة حجم المعالجة لكنه لم يمس منهجية التسجيل. ولا يزال نظام CVSS يسجل نقاط الضعف بشكل منفصل. وهو لا يمثل نموذجًا للتسلسل، حيث يجمع المهاجم بين الكشف عن معلومات متوسطة الخطورة وتصعيد الامتيازات متوسطة الخطورة وينتهي الأمر بتأثير حرج. ولا تسجل أي من الأخطاء درجة عاجلة من تلقاء نفسها، ولكنها معًا تمنحك تسوية كاملة للنظام.”
قال كالديرون إنه بالنسبة لقادة الأمن الذين اعتمدوا على NVD كنقطة مرجعية لسياق الثغرات الأمنية، فقد كان الوقت قريبًا لبناء مجموعة أولويات خاصة بهم. يمكن أن يتضمن ذلك بيانات من كتالوج Cisa’s Kev، ومعلومات نظام تسجيل نقاط الاستغلال (EPSS)، والسياق البيئي الخاص بالمنظمة.
وأشار إلى أن “أيام انتظار NIST لإخبارك بما يهم قد انتهت”.
إقرأ المزيد